Sécurité
Webhooks signés, clés d'API hashées, audit trail immuable, hébergement en Union européenne. Chaque demande de signature produit un dossier de preuve cryptographique — opposable et vérifiable.
Les clés d'API sont stockées hashées en SHA-256 — Signlift ne les lit jamais en clair. La comparaison se fait en temps constant pour éviter toute fuite par timing. Révocation immédiate, rotation sans downtime.
SHA-256 · constant-time · révocation immédiate
Chaque payload webhook est signé avec votre secret applicatif (HMAC-SHA256). Votre serveur vérifie la signature avant toute action — aucune chance qu'un tiers forge un événement.
HMAC-SHA256 · vérification temps constant
Infrastructure et données traitées dans l'Union européenne. Aucune donnée ne sort de l'UE. Sous-traitants UE uniquement. DPA disponible sur demande pour les plans Pro et Enterprise.
UE uniquement · Sous-traitance UE · DPA
Chaque événement (notification, OTP, signature, expiration) est journalisé en lecture seule avec IP, user-agent, horodatage UTC. Le journal complet est embarqué dans le certificat de preuve PDF.
Lecture seule · IP · UA · UTC · Embarqué dans le certificat
Couches de protection
Chaque appel API, chaque signature, chaque webhook traverse les mêmes contrôles. Aucune option à activer.
Hashée SHA-256. Comparaison constant-time. Révocable d'un clic.
Toutes les requêtes API et tous les webhooks transitent en HTTPS (TLS 1.3). Aucun trafic en clair, jamais.
OTP à 6 chiffres par e-mail ou SMS. TTL court. 5 tentatives max par fenêtre, sinon le code est invalidé.
Signature SHA-256 sur le body brut. Header dédié. Retentatives automatiques en cas d'échec côté client.
Journalisation en lecture seule de chaque événement avec IP, user-agent et horodatage UTC.
Généré côté serveur, livré avec le document signé. Contient l'audit trail complet et les hashes SHA-256 des documents.
Conformité
Signlift produit des signatures électroniques avancées au sens du règlement eIDAS (UE 910/2014). Le signataire est identifié par OTP, l'intégrité du document est garantie par hash SHA-256, et le certificat de preuve fait foi en justice.
Règlement eIDASInfrastructure hébergée en UE. Données et fichiers stockés en UE. Sous-traitants UE uniquement. Aucune donnée transférée vers des pays tiers — pas de Privacy Shield, pas de SCC complexes à gérer.
Sous-traitantsPas de tracking publicitaire, pas de cookies tiers, pas de pixel Facebook. Vos signataires ne sont jamais profilés. DPA (Data Processing Agreement) signé sur demande pour les plans Pro et Enterprise.
Politique de confidentialitéTransparence
Signlift est jeune — pas la peine de prétendre cocher des cases qu'on n'a pas. On préfère vous dire exactement où on en est.
Déjà en place
Pas encore en place
Si l'une de ces certifications est bloquante pour vous, écrivez à contact@signlift.eu — on pourra discuter calendrier.
Que ce soit pour un DPA, une revue de sécurité, ou l'analyse de risque exigée par votre RSSI, on est joignable sans intermédiaire.