Sécurité

Périmètre applicatif actuel

Kaspushop est une application construite avec Next.js, NextAuth, l'authentification Base Account / wallet SIWE et des routes proxy côté serveur vers notre infrastructure backend (hébergée chez OVHcloud, au Canada).

Contrôles d'authentification

• Les providers Base Account et wallet credentials vérifient les messages SIWE signés.
• Le domaine, l'URI, le nonce, la fenêtre issued-at et la chaîne Base mainnet sont validés.
• Les nonces sont à usage unique et utilisent Upstash Redis en production.
• La vérification de signature est réalisée côté serveur avec Viem.

Session et accès backend

• NextAuth utilise des sessions JWT avec des cookies de session et CSRF configurés.
• Les routes API commerce exigent une session active avant de relayer les appels backend.
• Les JWT backend sont signés côté serveur et expirent après 15 minutes.
• Les bearer tokens backend ne sont pas exposés au code navigateur.

Isolation runtime

Le service Next.js de production est lié à l'interface locale et attaché à un réseau bridge Docker. Le conteneur de production exécute le serveur standalone Next.js avec un utilisateur non-root.

Gestion des secrets

• Les secrets runtime sont chargés depuis l'environnement de déploiement.
• Aucune valeur secrète n'est définie dans les fichiers source publiés.
• Le stockage des tokens Shopify est géré côté backend.

Suppression des données et incidents

Le point de contact pour toute demande de suppression ou tout signalement d'incident est contact@kaspushop.fr.

Les demandes de suppression sont traitées dans les délais légaux applicables ; en cas de violation de données à caractère personnel, KASB SYSTEMS notifie la CNIL dans les 72 heures et informe les personnes concernées lorsque la réglementation l'exige.