FAQ technique

Modèle SaaS

Le service proposé fonctionne en SaaS (software as a service) : le client n'achète pas un logiciel à installer sur ses propres serveurs mais bénéficie de la mise à disposition sur nos serveurs de nos moyens, services et expertises. Les principaux avantages sont les suivants :

https://fr.wikipedia.org/wiki/Logiciel_en_tant_que_service

L'abonnement inclut toutes les mises à jour nécessaires pour assurer le fonctionnement de l'existant ainsi que les améliorations futures de l'outil.

Hébergement

Nous sommes clients chez Clever-Cloud, une entreprise française basée à Nantes fondée en 2010.

https://www.clever-cloud.com/about

PaaS (Plateform as a Service)

Nos sites sont hébergés sur des instances PHP de Clever-Cloud. De la même manière que nos clients externalisent la gestion du logiciel, nous leur confions la gestion technique et maintenance de nos serveurs pour nous concentrer sur notre cœur de métier, à savoir l’édition logicielle. Nous sommes convaincus que chacun de nous (clients, Clever-Cloud et nous-même) doit faire ce qu’il sait faire de mieux et ne pas se disperser.

En cas de forte montée en charge, l’infrastructure de Clever-Cloud allume davantage de serveurs pour assurer la disponibilité de notre service. Les ressources allouées à nos instances sont dédiées : nous ne sommes pas impactés si un autre client Clever-Cloud subit un pic de visites.

https://www.clever-cloud.com/doc/clever-cloud-overview/scaling/

Cette offre de Clever-Cloud s’appuie sur l’infrastructure de Online.net, une filiale du groupe Iliad.

Images et documents

Les images et documents uploadés sur notre plateforme sont stockés chez Amazon dans leur offre S3 avec le plus haut niveau de redondance. Le versioning est actif sur chaque bucket utilisé assurant une protection en cas de suppression accidentelle des ressources.

Les objets chez Amazon ne sont pas publics : une clef éphémère doit être fournie pour accéder à une ressource.

https://aws.amazon.com/s3/

Données bancaires

Chaque client dispose de son propre compte en ligne chez Smoney du groupe BPCE, établissement bancaire agréé par la Banque de France. Les flux financiers ne transitent à aucun moment par nos propres comptes, les fonds sont stockés chez Smoney ainsi que les différentes pièces justificatives nécessaires à la tenue des comptes. Smoney met à notre disposition un relevé de l'ensemble des opérations effectuées sur les différents comptes.

Ici aussi nous nous appuyons sur l'expertise d'un professionnel du monde bancaire.

L'accès à leur système est restreint à une liste blanche d'adresses IP.

http://www.s-money.fr/

Nom de domaine

Nous enregistrons les noms de domaine au nom de nos clients au sein de notre portefeuille de domaines de notre compte revendeur de Gandi, le 1er bureau d'enregistrement de noms de domaine en France. A tout instant, nous pouvons libérer le domaine pour en transférer la pleine gestion à un client qui le désire.

https://www.gandi.net/qui-est-gandi/

Sécurité

Bug Bounty

Nous avons un programme privé chez Bounty Factory où nous invitons des développeurs informatiques à rechercher des failles de sécurité au sein du logiciel.

Paiement en ligne

Nous activons le système 3D Secure sur l'ensemble de nos paiements sans seuil minimum. Ce système conçu par Visa et Mastercard a pour objectif de limiter la fraude en s'assurant à chaque paiement que la carte est utilisée par son véritable titulaire.

https://fr.wikipedia.org/wiki/3-D_Secure

Connexion de l'utilisateur

Chaque utilisateur peut, s'il le souhaite, activer un mécanisme d'authentification en 2 étapes. Ce mécanisme est obligatoire pour tous nos employés.

https://fr.wikipedia.org/wiki/Authentification_forte

Les mots de passe des utilisateurs ne sont pas stockés en clair mais hashés et salés. Le principe du hashage est de stocker une empreinte du mot de passe, cette empreinte étant calculée à partir d'une fonction dont on ne connait pas l'inverse : on ne sait pas retrouver le mot de passe à partir de son empreinte. Pour connecter l'utilisateur, on calcule l'empreinte du mot de passe saisi et on la compare à l'empreinte stockée. Ainsi, en cas de piratage de notre base de données, les mots de passe ne sont pas accessibles à l'attaquant.

https://fr.wikipedia.org/wiki/Fonction_de_hachage#Contr.C3.B4le_d.27acc.C3.A8s

Connexion entre ordinateur et serveur

Nous mettons à disposition de nos clients des certificats SSL pour permettre une connexion au site via le protocole sécurisé HTTPS. Ces certificats sont fournis par Comodo, une autorité reconnue. Ils utilisent des clefs de 128 bits échangées avec la méthode ECDHE_RSA et le protocole TLS 1.2.
Nous n'utilisons plus l'algorithme SHA-1 pour le hashage, en faveur de SHA-256.

Email

L'envoi des emails passe par Mandrill, un service proposé par Mailchimp. Chaque email envoyé par la plateforme est signé avec la norme DKIM pour éviter tout risque d'usurpation. Nous avons également adopté la norme SPF afin de lutter contre le spam.

https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://fr.wikipedia.org/wiki/Sender_Policy_Framework

Qualité du code

Tests unitaires

Chaque fonctionnalité est découpée en petites briques qui sont chacune testée par un test dit unitaire. On s'assure que, pour une entrée donnée, la sortie de la fonction corresponde à ce qui est attendu. Nous n'effectuons de mise à jour en production qu'à condition que l'ensemble des tests soit au vert.

https://fr.wikipedia.org/wiki/Test_unitaire

Résolution des bugs

En cas de bug sur la plateforme, nos équipes techniques reçoivent un rapport détaillé pour être en mesure de corriger le bug même si l'utilisateur qui en a été victime ne le signale pas. Ces rapports sont relevés plusieurs fois par jour pour être le plus réactif possible.

Versioning du code

Nous utilisons GIT comme outil de versioning. En plus d'enregistrer toute modification faite dans le code, cet outil permet de revenir en arrière lors d'une mise à jour si jamais des bugs n'avaient pas été détectés lors de nos tests.

Fermer En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. En savoir plus