FluXiaLégalSite principal
Mentions légalesConfidentialitéCGUCookiesSécurité

Mise à jour : 15 mai 2026

Mesures de sécurité

FluXia SAS applique des standards de sécurité rigoureux pour protéger vos données et transactions. Ce document présente les principales mesures techniques et organisationnelles en place sur l'ensemble de nos plateformes.

1. Chiffrement

L'ensemble des communications et des données au repos sont protégées par des algorithmes de chiffrement de niveau militaire.

  • En transit : protocole TLS 1.3 sur l'ensemble des communications entre clients et serveurs FluXia
  • Au repos : données sensibles chiffrées en AES-256. Mots de passe hashés avec bcrypt (facteur de coût ≥ 12) — jamais stockés en clair ni sous forme réversible
  • JWT : tokens d'authentification signés RS256 (clé asymétrique RSA 2048 bits). Les clés privées ne sont jamais exposées côté client
  • QR codes : signés HMAC-SHA256, chaque code est unique, lié à une transaction spécifique et non réutilisable

2. Sauvegardes et continuité

FluXia SAS garantit la durabilité et la disponibilité de vos données grâce à une stratégie de sauvegarde rigoureuse testée régulièrement.

  • Base de données PostgreSQL : sauvegardes automatiques quotidiennes gérées par Neon, avec une rétention de 30 jours
  • Tests de restauration : procédures de restauration testées trimestriellement pour garantir l'intégrité des sauvegardes
  • RPO (Recovery Point Objective) : 24 heures maximum — perte de données maximale acceptable en cas d'incident
  • RTO (Recovery Time Objective) : 4 heures maximum — durée maximale de restauration du service après incident
  • Conservation réglementaire : données de transactions conservées 10 ans conformément aux obligations BCEAO

3. Contrôle d'accès

L'accès aux données et aux fonctionnalités est strictement contrôlé selon le principe du moindre privilège. Chaque utilisateur n'accède qu'aux ressources correspondant à son rôle.

  • Authentification JWT RS256 : tokens à courte durée de vie (15 minutes), renouvelés automatiquement par refresh token sécurisé
  • RBAC (Role-Based Access Control) : accès segmenté par rôle — ADMIN, MERCHANT, BENEFICIARY, COMPANY_ADMIN. Aucune élévation de privilège non autorisée possible
  • Sessions multi-appareils : la connexion depuis un nouvel appareil révoque automatiquement la session précédente et notifie l'utilisateur
  • Accès administrateur : protégé par des contrôles renforcés, journalisé exhaustivement et soumis à une revue régulière

4. Politique de mot de passe

Aucun mot de passe n'est jamais communiqué par téléphone ou par email par les équipes FluXia SAS. En cas de contact prétendant émaner de FluXia et demandant vos identifiants, signalez-le immédiatement à security@fluxia.sn.

  • Longueur : 8 caractères recommandés, 4 caractères minimum imposés par le système
  • Stockage : exclusivement sous forme de hash bcrypt — jamais en clair, jamais sous forme réversible ou chiffrée symétriquement
  • Protection anti-brute-force : blocage temporaire du compte après 5 tentatives échouées (30 minutes). Notification automatique à l'utilisateur concerné
  • Réinitialisation : via lien sécurisé à usage unique (UUID v4, TTL 1 heure) envoyé par SMS ou email selon la préférence enregistrée

5. Hébergement sécurisé

FluXia SAS s'appuie sur des infrastructures cloud certifiées et reconnues pour leur niveau de sécurité, opérées par des leaders mondiaux du cloud computing.

  • Vercel Inc. : certifié SOC 2 Type II et ISO 27001. Firewall applicatif (WAF) et protection contre les attaques DDoS inclus dans l'infrastructure
  • Neon (PostgreSQL) : certifié SOC 2. Sauvegardes automatiques et chiffrement natif des données
  • Isolation des environnements : environnement de production strictement isolé des environnements de développement et de test
  • Gestion des secrets : variables d'environnement et clés API gérées via des gestionnaires de secrets sécurisés — jamais exposées en clair dans le code source ou les dépôts
  • CI/CD sécurisé : déploiements automatisés avec validation du code (tests, lint, analyse statique) avant toute mise en production

6. Journalisation et audit

FluXia SAS maintient une piste d'audit complète et immuable de l'ensemble des opérations critiques, garantissant la traçabilité et la non-répudiation.

  • Journaux d'audit complets : chaque connexion, transaction et action administrative est enregistrée avec horodatage précis, adresse IP et identifiant utilisateur
  • Ledger financier immuable : les écritures comptables sont en INSERT ONLY — aucune modification ni suppression n'est possible après création, garantissant l'intégrité des données financières
  • Conservation des logs : 5 ans minimum pour les logs de transactions (obligation BCEAO), 1 an pour les logs d'accès système
  • Détection d'anomalies : alertes automatiques en cas de comportements suspects — volumes de transactions inhabituels, tentatives de connexion répétées, connexions depuis des zones géographiques inconnues

7. Signalement de vulnérabilité

Si vous découvrez une vulnérabilité de sécurité sur nos plateformes, nous vous invitons à nous la signaler de manière responsable via notre programme de divulgation coordonnée.

Contactez notre équipe sécurité à security@fluxia.sn. Nous nous engageons à accuser réception sous 48 heures et à corriger les vulnérabilités critiques sous 7 jours ouvrables.

FluXia SAS s'engage à ne pas engager de poursuites judiciaires contre les chercheurs en sécurité de bonne foi qui signalent des vulnérabilités via notre programme de divulgation responsable, dans le respect des limites définies par ce programme.

Pour toute autre question de sécurité : security@fluxia.sn

© 2026 FluXia SAS — RCCM SN DKR 2026 B 11737 — NINEA 012945624 — Dakar, Sénégal