Documentation Index
Fetch the complete documentation index at: https://docs.finkare.io/llms.txt
Use this file to discover all available pages before exploring further.
Architecture de sécurité
Finkare est conçu pour répondre aux exigences de sécurité des institutions financières et des grands comptes. L’architecture suit les principes defense-in-depth et zero-trust.
Chiffrement
| Couche | Standard | Détail |
|---|
| Transit | TLS 1.3 | HTTPS obligatoire, HSTS preload |
| Repos | AES-256 | Base de données Supabase (AWS) |
| Secrets | SHA-256 | API keys hashées, jamais stockées en clair |
| Webhooks | HMAC-SHA256 | Signature de chaque payload |
Authentification
- API Key : header
X-API-Key, hashée SHA-256 en base
- OAuth 2.1 : JWT RS256, 3 grant types, PKCE obligatoire
- IP Whitelist : restriction optionnelle par clé API
- Rotation : endpoint dédié pour la rotation des clés sans interruption
Autorisation
- 15 scopes granulaires : principe du moindre privilège
- Rate limiting par tier : Starter (60/min), Pro (300/min), Enterprise (1000+/min)
- Quotas journaliers : Starter (10k), Pro (100k), Enterprise (illimité)
Infrastructure
| Composant | Hébergement | Région |
|---|
| API Gateway | Railway | EU (Frankfurt) |
| Base de données | Supabase (AWS) | eu-west (Ireland) |
| IA | Mistral AI | EU (Suède) |
| Email | Resend | EU |
| Monitoring | OpenStatus | EU |
Aucune donnée ne quitte l’Union Européenne. L’IA Mistral est un modèle français dont l’inférence est exécutée en UE (Suède). La base de données est hébergée sur AWS eu-west (Irlande).
| Header | Valeur |
|---|
Strict-Transport-Security | max-age=31536000; includeSubDomains; preload |
Referrer-Policy | strict-origin-when-cross-origin |
Permissions-Policy | camera=(), microphone=(), geolocation=() |
Content-Security-Policy | Restrictif (self uniquement) |
X-Content-Type-Options | nosniff |
X-Frame-Options | DENY |
CORS
Les origines autorisées sont strictement limitées :
https://app.finkare.io (dashboard client)https://admin.finkare.io (admin panel)https://api.finkare.io (documentation)
Les headers exposés incluent les informations de rate limiting et l’ID de requête.
Monitoring
- Health check :
GET /health et GET /health/detailed
- Readiness :
GET /ready
- Métriques :
GET /metrics
- Statut public : status.finkare.io
| Standard | Statut | Détails |
|---|
| RGPD | Conforme | Détails |
| CPCE | Conforme | Anti-harcèlement |
| AI Act | Préparé | Scoring high-risk documenté |
| SOC 2 | Architecture ready | Audit logs immutables |
| PCI DSS | Délégué | PSP certifiés (Mollie, PayPlug) |
Signalement de vulnérabilités
Si vous découvrez une vulnérabilité de sécurité, contactez-nous à security@finkare.io. Nous nous engageons à répondre sous 24 heures ouvrées.
