Bonnes Pratiques de Sécurité
Recommandations pour sécuriser votre intégration Luneo
Gestion des Clés API
- Ne jamais exposer vos clés API côté client (frontend)
- Utiliser des variables d'environnement pour stocker les clés
- Effectuer une rotation régulière des clés (tous les 90 jours)
- Utiliser des clés différentes pour dev, staging et production
Validation des Webhooks
- Toujours vérifier la signature HMAC-SHA256
- Implémenter l'idempotence avec les IDs d'événement
- Utiliser HTTPS uniquement pour les endpoints webhook
Protection des Données
- Chiffrer les données sensibles au repos et en transit
- Respecter les réglementations RGPD
- Implémenter une politique de rétention des données
À éviter absolument
- ❌ Stocker les clés API dans le code source
- ❌ Utiliser la même clé pour plusieurs environnements
- ❌ Accepter les webhooks sans vérification de signature
- ❌ Logger les clés API ou tokens dans les logs