Document technique

Architecture & Sécurité

Page de référence pour les éditeurs, agences ou prestataires souhaitant comprendre l'état actuel de la plateforme. Tous les éléments listés ci-dessous sont déjà implémentés et opérationnels.

Dernière mise à jour : mai 2026
4
Langues actives
3
Méthodes de paiement
10+
Transporteurs livraison
A+
Niveau de durcissement
Stack technique

Technologies & infrastructure

Backend

  • Framework PHP de référence (édition LTS, mises à jour suivies)
  • Base de données relationnelle SQL
  • Cache mémoire et file d'attente persistante
  • Workers et planificateur côté serveur

Frontend

  • CSS utilitaire compilé avec build moderne
  • Interactivité progressive (Alpine + composants Vue ciblés)
  • Polices web auto-hébergées avec préconnexions
  • Chargement différé natif des médias

Infrastructure

  • Hébergement français sur serveur dédié
  • Reverse-proxy avec compression et cache HTTP
  • HTTPS avec HSTS
  • SMTP authentifié en SSL/TLS
  • Sauvegardes automatiques de la base
Sécurité applicative

Mesures de durcissement déployées

Authentification & accès

  • Hashage des mots de passe via algorithme adaptatif aux standards actuels
  • Middleware de rôles strict (admin / pro / client) sur les routes sensibles
  • Champs privilégiés non mass-assignables (rôle, statut, approbation)
  • Limitation stricte des tentatives sur connexion, inscription et réinitialisation
  • Jeton cryptographique d'autorisation sur chaque commande invité

Protection applicative

  • Protection CSRF sur tous les formulaires authentifiés
  • Échappement de sortie par défaut, anti-XSS sur tous les outputs utilisateur
  • En-têtes HTTP : CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
  • Anti-spam serveur sur formulaires publics (contact, devis, newsletter)
  • Validation stricte côté serveur des prix, montants et identifiants (anti-tampering)

Sessions & cookies

  • Sessions chiffrées en production
  • Cookies HTTPS-only, HttpOnly, SameSite
  • Régénération du jeton CSRF aux transitions d'authentification
  • Stockage de session côté serveur (pas de stockage fichier en production)

Audit & traçabilité

  • Journal des actions administrateur sensibles
  • Métadonnées de connexion tronquées pour limiter le fingerprinting
  • Logs serveur structurés et alertes non bloquantes
  • Sauvegardes automatiques de la base de données
Paiements

Méthodes de paiement sécurisées

Stripe

  • Intégration officielle Stripe (CB, Visa, Mastercard, Amex)
  • Webhooks à signature cryptographique vérifiée
  • Anti-replay et idempotence côté serveur
  • Vérification stricte du montant encaissé côté serveur

Virement bancaire (IBAN virtuel)

  • IBAN dédié et unique par commande
  • Référence imposée pour garantir l'association
  • Validation SEPA Instant ou standard
  • Marquage automatique de la commande au crédit confirmé

PayPal

  • OAuth2 sandbox / live
  • Capture côté serveur avec vérification montant et devise
  • Garde anti double-capture
Livraison

Intégration logistique multi-transporteurs

Cotation live

  • API officielle multi-transporteurs
  • Sélection automatique du meilleur tarif
  • Marge admin configurable
  • Cache court côté serveur pour les cotations

Points relais

  • Détection automatique des points disponibles à proximité
  • Option masquée si aucun point physique n'est disponible
  • Vérification stricte du point choisi à la création de commande

Réservation automatique

  • Réservation automatique au paiement validé (étiquette PDF + tracking)
  • Fallback brouillon en cas d'indisponibilité
  • Synchronisation live d'état côté client
  • Notification staff sur chaque commande payée
SEO & Performance

Référencement et vitesse

Schema.org / structured data

  • LocalBusiness complet (adresse, horaires, géo, zones desservies)
  • Product (prix, disponibilité, marque, avis)
  • BlogPosting + BreadcrumbList
  • OpenGraph + Twitter Cards systématiques

Multilingue & SEO local

  • 4 langues avec RTL natif
  • Hreflang complets
  • Sitemap dynamique avec produits, articles, hreflang et balises images
  • Geo meta tags pour le référencement local

Performance

  • Build asset moderne avec hashing et tree-shaking
  • Chargement différé natif des images
  • Génération de miniatures à la demande avec cache disque
  • Préconnexions polices web
  • Compression et cache HTTP avec Cache-Control adaptatifs
Conformité

RGPD & mentions légales

Droits utilisateurs

  • Droit d'accès, rectification, suppression et portabilité
  • Désinscription newsletter en un clic (URL signée)
  • Suppression de compte avec ré-authentification par mot de passe
  • Export des données personnelles à la demande (GDPR Art. 20)

Mesures techniques

  • Pas de tracking tiers par défaut
  • Pas de cookies analytics non essentiels
  • Adresses IP stockées uniquement pour la sécurité (audit, anti-fraude)
  • Conservation limitée des logs (rotation hebdo)

Mentions légales

  • Mentions légales, politique de confidentialité, CGV à jour (EURL GÉNIALITÉ)
  • Mention TVA franchise en base (art. 293 B du CGI) sur factures et devis
  • Information hébergeur (IONOS SARL) et administration serveur identifiée

Cette page est tenue à jour à chaque évolution majeure de la plateforme.

Le site, son architecture et l'ensemble des sujets listés ci-dessus sont conçus, déployés et maintenus en interne par l'équipe technique dédiée.

Toute proposition d'audit de sécurité, d'optimisation SEO, de refonte ou d'intervention technique ciblant les sujets ci-dessus devra démontrer une plus-value mesurable au-delà des standards déjà implémentés.

Contact : info@broderieitalienne.com