Sécurité

La sécurité par défaut. Pas en option.

Webhooks signés, clés d'API hashées, audit trail immuable, hébergement en Union européenne. Chaque demande de signature produit un dossier de preuve cryptographique — opposable et vérifiable.

Hébergement EuropeHMAC-SHA256Audit trail immuableRGPD by design

Authentification durcie

Les clés d'API sont stockées hashées en SHA-256 — Signlift ne les lit jamais en clair. La comparaison se fait en temps constant pour éviter toute fuite par timing. Révocation immédiate, rotation sans downtime.

SHA-256 · constant-time · révocation immédiate

Webhooks signés HMAC

Chaque payload webhook est signé avec votre secret applicatif (HMAC-SHA256). Votre serveur vérifie la signature avant toute action — aucune chance qu'un tiers forge un événement.

HMAC-SHA256 · vérification temps constant

Hébergement en Europe

Documents et audit trail hébergés et traités dans l'Union européenne. Les rares transferts hors UE (paiement Stripe, SMS de secours Twilio) sont encadrés par des garanties appropriées. DPA disponible sur demande pour les plans Pro et Enterprise.

Données en UE · Transferts encadrés · DPA

Audit trail immuable

Chaque événement (notification, OTP, signature, expiration) est journalisé en lecture seule avec IP, user-agent, horodatage UTC. Le journal complet est embarqué dans le certificat de preuve PDF.

Lecture seule · IP · UA · UTC · Embarqué dans le certificat

Couches de protection

Six couches qui se renforcent
de la requête au certificat.

Chaque appel API, chaque signature, chaque webhook traverse les mêmes contrôles. Aucune option à activer.

Clé d'API

Hashée SHA-256. Comparaison constant-time. Révocable d'un clic.

TLS 1.3 partout

Toutes les requêtes API et tous les webhooks transitent en HTTPS (TLS 1.3). Aucun trafic en clair, jamais.

Vérification d'identité du signataire

OTP à 6 chiffres par e-mail ou SMS. TTL court. 5 tentatives max par fenêtre, sinon le code est invalidé.

Webhooks signés HMAC

Signature SHA-256 sur le body brut. Header dédié. Retentatives automatiques en cas d'échec côté client.

Audit trail immuable

Journalisation en lecture seule de chaque événement avec IP, user-agent et horodatage UTC.

Certificat de preuve PDF

Généré côté serveur, livré avec le document signé. Contient l'audit trail complet et les hashes SHA-256 des documents.

Conformité

Conforme là où ça compte.
Pas un de plus, pas un de moins.

Conformité eIDAS niveau 1

Signlift produit des signatures électroniques simples au sens du règlement eIDAS (UE 910/2014). Le signataire est authentifié par OTP et déclare son identité ; l'intégrité est garantie par hash SHA-256 et scellement PAdES. L'audit trail horodaté constitue un faisceau de preuves recevable, soumis à la libre appréciation du juge.

Règlement eIDAS

Hébergement et données — Union européenne

Documents et audit trail hébergés et stockés en UE (AWS Irlande). E-mails, SMS principal, logs et supervision chez des prestataires européens. Les rares transferts hors UE (paiement Stripe, SMS de secours Twilio) sont encadrés par des garanties appropriées (CCT / Data Privacy Framework).

Sous-traitants

RGPD by design

Pas de tracking publicitaire, pas de cookies tiers, pas de pixel Facebook. Vos signataires ne sont jamais profilés. DPA (Data Processing Agreement) signé sur demande pour les plans Pro et Enterprise.

Politique de confidentialité

Transparence

Ce qui est en place,
et ce qui ne l'est pas encore.

Signlift est jeune — pas la peine de prétendre cocher des cases qu'on n'a pas. On préfère vous dire exactement où on en est.

Déjà en place

Ce que vous obtenez aujourd'hui

  • Chiffrement TLS 1.3 sur toutes les requêtes
  • Clés d'API hashées SHA-256, jamais en clair
  • Webhooks signés HMAC-SHA256
  • Audit trail immuable par signature request
  • Scellement PAdES des PDF signés (cachet via KMS)
  • Certificat de preuve PDF horodaté
  • Déclaration d'identité du signataire, horodatée et versionnée
  • Hébergement et stockage des données en Union européenne
  • OTP avec limites de tentatives par fenêtre
  • Iframe avec validation domaine par organisation
  • DPA signé sur demande (Pro · Enterprise)

Pas encore en place

Ce qui n'est pas dans le périmètre

  • Certification ISO 27001
  • Certification HDS (Hébergement Données de Santé)
  • Certification SOC 2 Type II
  • Signature qualifiée eIDAS niveau 3 (QES)
  • Horodatage qualifié par TSA tiers

Si l'une de ces certifications est bloquante pour vous, écrivez à contact@signlift.eu — on pourra discuter calendrier.

Une question sécurité ou compliance ?
On répond, directement.

Que ce soit pour un DPA, une revue de sécurité, ou l'analyse de risque exigée par votre RSSI, on est joignable sans intermédiaire.