01 · Hébergement
Architecture d’hébergement · UE uniquement
- Primaire : OVHcloud SAS — Roubaix (ISO-27001)
- Failover : Hetzner Online GmbH — Francfort (bascule < 4 min)
- Paiements : Stripe Payments Europe Ltd (Dublin, PCI-DSS L1)
- Backup : Backblaze-B2 cluster UE Helsinki, AES-256 chiffré
Aucun traitement hors UE. Aucun US-cloud, aucun UK-provider, aucun transfert pays tiers.
02 · Chiffrement
TLS 1.3 & AES-256
En transit
Toutes les connexions TLS 1.3 avec Perfect Forward Secrecy + pinning de certificats contre endpoints D-EDGE.
Au repos
Tous les jetons API D-EDGE depuis D-EDGE Login chiffrés AES-256 dans un vault de secrets séparé. HSM matériel (Roubaix).
Mots de passe
Hachés avec Argon2id (memory-hard).
03 · Sauvegardes
Règle 3-2-1 · RPO < 15 min
- Snapshot quotidien de la DB primaire (Roubaix)
- Deuxième copie à Francfort, troisième à Helsinki
- Rétention 30 jours glissants
- SLA Restore : RPO < 15 min, RTO < 4 h
- Test restore trimestriel
04 · Accès
Least-privilege · MFA
- Accès production uniquement via MFA avec YubiKey
- Contrôle d’accès basé sur les rôles
- Aucun login SSH par mot de passe
- Audit log complet
05 · Conformité
RGPD & certifications
- Conforme RGPD (règlement UE 2016/679) + Loi Informatique et Libertés
- PCI-DSS out-of-scope
- ISO 27001 : projet préparatoire T1/2026, certification prévue T4/2027
- ANSSI : compatibilité référentiel
06 · Divulgation
Divulgation responsable
Signalez toute vulnérabilité à disclosure@dedles.org. Confirmation sous 24 h, mise à jour sous 5 jours ouvrés.