Sécurité - Finkare API

Architecture de sécurité

Finkare est conçu pour répondre aux exigences de sécurité des institutions financières et des grands comptes. L’architecture suit les principes defense-in-depth et zero-trust.

Chiffrement

Couche	Standard	Détail
Transit	TLS 1.3	HTTPS obligatoire, HSTS preload
Repos	AES-256	Base de données Supabase (AWS)
Secrets	SHA-256	API keys hashées, jamais stockées en clair
Webhooks	HMAC-SHA256	Signature de chaque payload

Authentification

API Key : header X-API-Key, hashée SHA-256 en base
OAuth 2.1 : JWT RS256, 3 grant types, PKCE obligatoire
IP Whitelist : restriction optionnelle par clé API
Rotation : endpoint dédié pour la rotation des clés sans interruption

Autorisation

15 scopes granulaires : principe du moindre privilège
Rate limiting par tier : Starter (60/min), Pro (300/min), Enterprise (1000+/min)
Quotas journaliers : Starter (10k), Pro (100k), Enterprise (illimité)

Infrastructure

Composant	Hébergement	Région
API Gateway	Railway	EU (Frankfurt)
Base de données	Supabase (AWS)	eu-west (Ireland)
IA	Mistral AI	EU (France)
Email	Resend	EU
Monitoring	OpenStatus	EU

Aucune donnée ne quitte l’Union Européenne. L’IA Mistral est un modèle français hébergé en France. La base de données Supabase est sur AWS eu-west (Irlande).

Headers de sécurité

L’API Gateway applique les headers de sécurité suivants :

Header	Valeur
`Strict-Transport-Security`	`max-age=31536000; includeSubDomains; preload`
`Referrer-Policy`	`strict-origin-when-cross-origin`
`Permissions-Policy`	`camera=(), microphone=(), geolocation=()`
`Content-Security-Policy`	Restrictif (self uniquement)
`X-Content-Type-Options`	`nosniff`
`X-Frame-Options`	`DENY`

CORS

Les origines autorisées sont strictement limitées :

https://app.finkare.io (dashboard client)
https://admin.finkare.io (admin panel)
https://api.finkare.io (documentation)

Les headers exposés incluent les informations de rate limiting et l’ID de requête.

Monitoring

Health check : GET /health et GET /health/detailed
Readiness : GET /ready
Métriques : GET /metrics
Statut public : status.finkare.io

Conformités

Standard	Statut	Détails
RGPD	Conforme	Détails
CPCE	Conforme	Anti-harcèlement
AI Act	Préparé	Scoring high-risk documenté
SOC 2	Architecture ready	Audit logs immutables
PCI DSS	Délégué	PSP certifiés (Mollie, PayPlug)

Signalement de vulnérabilités

Si vous découvrez une vulnérabilité de sécurité, contactez-nous à security@finkare.io. Nous nous engageons à répondre sous 24 heures ouvrées.

Security

​Architecture de sécurité

​Chiffrement

​Authentification

​Autorisation

​Infrastructure

​Headers de sécurité

​CORS

​Monitoring

​Conformités

​Signalement de vulnérabilités

Architecture de sécurité

Chiffrement

Authentification

Autorisation

Infrastructure

Headers de sécurité

CORS

Monitoring

Conformités

Signalement de vulnérabilités