Ressources Officielles - Conformité & Sécurité
Date de création : 11 novembre 2025
Statut : 🔵 En cours de rédaction
Propriétaire : Équipe
Dernière mise à jour : 11 novembre 2025
📖 Guide d'Utilisation
Ce document centralise toutes les ressources officielles pour : - Sécurité : OWASP, Stripe, Firebase - Conformité légale : RGPD, CCPA, LGPD - Paiements : Stripe, PCI-DSS - Mobile : App Store, Play Store
Comment l'utiliser : 1. Chercher le sujet qui vous intéresse 2. Cliquer sur le lien officiel 3. Lire la documentation 4. Implémenter les recommandations
1. Sécurité - Standards Internationaux
1.1 OWASP (Open Web Application Security Project)
Qu'est-ce que c'est ? : Organisation à but non lucratif qui publie les standards de sécurité web
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| OWASP Top 10 | https://owasp.org/www-project-top-ten/ | Les 10 vulnérabilités web les plus critiques |
| OWASP API Security | https://owasp.org/www-project-api-security/ | Sécurité des API (Cloud Functions) |
| OWASP Mobile Security | https://owasp.org/www-project-mobile-security/ | Sécurité des applications mobiles |
| OWASP Cheat Sheets | https://cheatsheetseries.owasp.org/ | Guides rapides par sujet |
| OWASP Testing Guide | https://owasp.org/www-project-web-security-testing-guide/ | Comment tester la sécurité |
À lire en priorité : - [ ] OWASP Top 10 (30 min) - [ ] OWASP API Security (1h) - [ ] OWASP Mobile Security (1h)
1.2 PCI-DSS (Payment Card Industry Data Security Standard)
Qu'est-ce que c'est ? : Norme de sécurité pour les paiements par carte
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| PCI-DSS Official | https://www.pcisecuritystandards.org/ | Norme officielle |
| PCI-DSS Quick Reference | https://www.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-Quick-Reference-Guide-r1.pdf | Résumé rapide |
| Stripe PCI Compliance | https://stripe.com/docs/security/pci-compliance | Comment Stripe gère PCI-DSS |
À savoir : - ✅ Vous utilisez Stripe → Stripe gère PCI-DSS pour vous - ❌ Vous ne devez JAMAIS stocker les numéros de carte - ✅ Vous devez valider les webhooks Stripe
À lire en priorité : - [ ] Stripe PCI Compliance (15 min)
2. Sécurité - Fournisseurs
2.1 Stripe Security
Qu'est-ce que c'est ? : Documentation officielle de Stripe sur la sécurité
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| Stripe Security | https://stripe.com/docs/security | Guide de sécurité Stripe |
| Stripe API Keys | https://stripe.com/docs/keys | Gestion des clés API |
| Stripe Webhooks | https://stripe.com/docs/webhooks | Documentation des webhooks |
| Stripe Webhooks Signatures | https://stripe.com/docs/webhooks/signatures | Comment valider les webhooks |
| Stripe Testing | https://stripe.com/docs/testing | Données de test |
| Stripe CLI | https://stripe.com/docs/stripe-cli | Outil de test local |
| Stripe Payments | https://stripe.com/docs/payments | Implémentation des paiements |
| Stripe Checkout | https://stripe.com/docs/payments/checkout | Checkout sécurisé |
| Stripe Subscriptions | https://stripe.com/docs/billing/subscriptions/overview | Gestion des abonnements |
| Stripe Dunning | https://stripe.com/docs/billing/subscriptions/dunning | Recouvrement des paiements échoués |
À lire en priorité : - [ ] Stripe Security (30 min) - [ ] Stripe Webhooks Signatures (30 min) - [ ] Stripe Testing (30 min)
Données de test Stripe :
Carte valide : 4242 4242 4242 4242
Carte déclinée : 4000 0000 0000 0002
Carte expirée : 4000 0000 0000 0069
Date expiration : 12/25 (n'importe quelle date future)
CVC : 123 (n'importe quel nombre)
2.2 Firebase Security
Qu'est-ce que c'est ? : Documentation officielle de Firebase sur la sécurité
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| Firebase Security Overview | https://firebase.google.com/docs/firestore/security/start | Introduction à la sécurité Firebase |
| Firestore Security Rules | https://firebase.google.com/docs/firestore/security/rules-structure | Structure des règles de sécurité |
| Firestore Security Rules Guide | https://firebase.google.com/docs/firestore/security/rules-query-conditions | Guide complet des règles |
| Firebase Authentication | https://firebase.google.com/docs/auth | Guide d'authentification |
| Firebase Auth Best Practices | https://firebase.google.com/docs/auth/best-practices | Bonnes pratiques d'authentification |
| Cloud Functions Security | https://firebase.google.com/docs/functions/security/overview | Sécurité des Cloud Functions |
| Firebase Emulator Suite | https://firebase.google.com/docs/emulator-suite | Tester localement |
À lire en priorité : - [ ] Firestore Security Rules (1h) - [ ] Firebase Auth Best Practices (30 min) - [ ] Cloud Functions Security (30 min)
3. Conformité Légale - Régulations
3.1 RGPD (Règlement Général sur la Protection des Données)
Qu'est-ce que c'est ? : Loi européenne sur la protection des données (s'applique à toute app avec utilisateurs EU)
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| RGPD Officiel | https://eur-lex.europa.eu/eli/reg/2016/679/oj | Texte officiel (complexe) |
| CNIL - RGPD par où commencer | https://www.cnil.fr/fr/rgpd-par-ou-commencer | Guide simplifié (France) |
| CNIL - Conformité | https://www.cnil.fr/fr/conformite | Ressources de conformité |
| CNIL - Droit à l'oubli | https://www.cnil.fr/fr/droit-loubli | Droit à l'oubli expliqué |
| CNIL - Consentement | https://www.cnil.fr/fr/consentement | Consentement explicite |
| RGPD.eu | https://rgpd.eu/ | Ressources RGPD |
Exigences clés pour Yinshi :
| Exigence | Détail | Votre Action |
|---|---|---|
| Consentement explicite | Demander l'accord avant de traiter les données | Ajouter checkbox d'acceptation |
| Politique de confidentialité | Expliquer comment vous utilisez les données | Créer document légal |
| Droit à l'oubli | Permettre la suppression de compte | Implémenter suppression complète |
| Portabilité des données | Permettre l'export des données | Implémenter export JSON/CSV |
| Sécurité des données | Protéger les données (chiffrement, audit trails) | Améliorer audit trails |
| Durée de rétention | Définir combien de temps garder les données | Définir politique (ex: 6 mois après suppression) |
À lire en priorité : - [ ] CNIL - RGPD par où commencer (30 min) - [ ] CNIL - Consentement (30 min) - [ ] CNIL - Droit à l'oubli (30 min)
3.2 CCPA (California Consumer Privacy Act)
Qu'est-ce que c'est ? : Loi californienne sur la protection des données (s'applique si vous avez utilisateurs en Californie)
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| CCPA Officiel | https://oag.ca.gov/privacy/ccpa | Texte officiel |
| CCPA FAQ | https://oag.ca.gov/privacy/ccpa/faq | Questions fréquentes |
| Stripe CCPA Guide | https://stripe.com/docs/legal/ccpa | Guide Stripe pour CCPA |
Exigences clés pour Yinshi :
| Exigence | Détail | Votre Action |
|---|---|---|
| Droit d'accès | Permettre à l'utilisateur de voir ses données | Implémenter export |
| Droit de suppression | Permettre la suppression de compte | Implémenter suppression |
| Droit de non-vente | Ne pas vendre les données | Documenter politique |
| Opt-out | Permettre de refuser le partage de données | Ajouter option opt-out |
| Notification de violation | Notifier en cas de fuite de données | Créer processus de notification |
À lire en priorité : - [ ] Stripe CCPA Guide (30 min)
3.3 LGPD (Lei Geral de Proteção de Dados)
Qu'est-ce que c'est ? : Loi brésilienne sur la protection des données (s'applique si vous avez utilisateurs au Brésil)
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| LGPD Officiel | https://www.gov.br/cidadania/pt-br/acesso-a-informacao/lgpd | Texte officiel |
| LGPD Guide | https://www.gov.br/cidadania/pt-br/acesso-a-informacao/lgpd/guia-lgpd | Guide simplifié |
Exigences clés pour Yinshi : - Similaires à RGPD (consentement, droit à l'oubli, etc.)
À lire en priorité : - [ ] LGPD Guide (30 min)
4. Conformité Légale - Paiements
4.1 Stripe Legal
Qu'est-ce que c'est ? : Documentation légale officielle de Stripe
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| Stripe Legal | https://stripe.com/docs/legal | Ressources légales Stripe |
| Stripe Terms of Service | https://stripe.com/legal/ssa | Conditions d'utilisation |
| Stripe Privacy Policy | https://stripe.com/privacy | Politique de confidentialité Stripe |
| Stripe Data Processing | https://stripe.com/docs/legal/dpa | Accord de traitement des données |
| Stripe Restricted Countries | https://stripe.com/global | Pays où Stripe fonctionne |
À lire en priorité : - [ ] Stripe Terms of Service (30 min) - [ ] Stripe Data Processing (15 min)
4.2 Conformité Fiscale
Qu'est-ce que c'est ? : Obligations fiscales pour les paiements (TVA, GST, etc.)
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| Stripe Tax | https://stripe.com/tax | Gestion automatique de la TVA/GST |
| TVA France | https://www.impots.gouv.fr/portail/professionnel/tva | TVA en France |
| TVA EU | https://ec.europa.eu/taxation_customs/business/vat_en | TVA en EU |
| GST Canada | https://www.canada.ca/taxes/businesses/topics/gst-hst.html | GST au Canada |
À savoir : - Stripe Tax peut gérer automatiquement la TVA/GST - Vous devez facturer la TVA selon le pays de l'utilisateur - Vous devez conserver les factures 6 ans (France)
À lire en priorité : - [ ] Stripe Tax (30 min)
5. Mobile - App Store & Play Store
5.1 App Store (Apple)
Qu'est-ce que c'est ? : Conditions pour publier sur l'App Store
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| App Store Review Guidelines | https://developer.apple.com/app-store/review/guidelines/ | Conditions de publication |
| App Store Privacy | https://developer.apple.com/app-store/privacy/ | Politique de confidentialité requise |
| App Store Payments | https://developer.apple.com/app-store/payments/ | Paiements via App Store |
Exigences clés : - ✅ Politique de confidentialité requise - ✅ Conditions d'utilisation recommandées - ✅ Droit à l'oubli (RGPD) - ✅ Export de données (RGPD)
À lire en priorité : - [ ] App Store Review Guidelines (1h) - [ ] App Store Privacy (30 min)
5.2 Play Store (Google)
Qu'est-ce que c'est ? : Conditions pour publier sur le Play Store
Ressources principales :
| Ressource | Lien | Utilité |
|---|---|---|
| Play Store Policies | https://play.google.com/about/developer-content-policy/ | Conditions de publication |
| Play Store Privacy | https://support.google.com/googleplay/android-developer/answer/10144311 | Politique de confidentialité requise |
| Play Store Payments | https://support.google.com/googleplay/android-developer/answer/6112778 | Paiements via Play Store |
Exigences clés : - ✅ Politique de confidentialité requise - ✅ Conditions d'utilisation recommandées - ✅ Droit à l'oubli (RGPD) - ✅ Export de données (RGPD)
À lire en priorité : - [ ] Play Store Policies (1h) - [ ] Play Store Privacy (30 min)
6. Outils & Générateurs
6.1 Générateurs de Documents Légaux
| Outil | Lien | Coût | Utilité |
|---|---|---|---|
| Termly | https://termly.io/ | €99-300/an | Génère politique de confidentialité + conditions |
| iubenda | https://www.iubenda.com/ | €100-400/an | Génère documents légaux + gestion consentement |
| LegalStart | https://www.legalstart.fr/ | €99-500 | Création de documents légaux |
| Rocket Lawyer | https://www.rocketlawyer.com/ | $99-300/an | Documents légaux en ligne |
Recommandation : Utiliser Termly ou iubenda pour générer les documents, puis faire valider par un juriste
6.2 Outils de Test
| Outil | Lien | Utilité |
|---|---|---|
| Stripe CLI | https://stripe.com/docs/stripe-cli | Tester les webhooks localement |
| Firebase Emulator | https://firebase.google.com/docs/emulator-suite | Tester Firestore/Auth localement |
| Postman | https://www.postman.com/ | Tester les API |
| OWASP ZAP | https://www.zaproxy.org/ | Scanner de sécurité |
7. Plan de Lecture - Recommandé
Semaine 1 : Fondamentaux (10h)
Jour 1-2 : Sécurité (4h) - [ ] OWASP Top 10 (1h) - [ ] Stripe Security (1h) - [ ] Firestore Security Rules (2h)
Jour 3-4 : Conformité (4h) - [ ] CNIL - RGPD par où commencer (1h) - [ ] CNIL - Consentement (1h) - [ ] App Store Review Guidelines (2h)
Jour 5 : Paiements (2h) - [ ] Stripe Webhooks Signatures (1h) - [ ] Stripe Testing (1h)
Semaine 2 : Approfondissement (10h)
Jour 1-2 : Sécurité avancée (4h) - [ ] OWASP API Security (2h) - [ ] Cloud Functions Security (2h)
Jour 3-4 : Conformité avancée (4h) - [ ] CNIL - Droit à l'oubli (1h) - [ ] Stripe CCPA Guide (1h) - [ ] Stripe Data Processing (1h) - [ ] Stripe Tax (1h)
Jour 5 : Intégration (2h) - [ ] Relire les notes - [ ] Préparer l'implémentation
8. Checklist de Conformité - Avant Production
Avant Déploiement
- [ ] Politique de confidentialité créée et acceptée
- [ ] Conditions d'utilisation créées et acceptées
- [ ] Webhooks Stripe validés
- [ ] Firestore Security Rules auditées
- [ ] Audit trails implémentés
- [ ] Droit à l'oubli implémenté
- [ ] Export de données implémenté
- [ ] Factures générées
- [ ] Conformité TVA vérifiée
- [ ] App Store Review Guidelines respectées
- [ ] Play Store Policies respectées
Avant Expansion
- [ ] Audit de sécurité externe
- [ ] Consultation juridique
- [ ] Certification si applicable
9. Contacts & Support
Stripe Support
- Email : support@stripe.com
- Chat : https://stripe.com/docs/support
- Status : https://status.stripe.com/
Firebase Support
- Email : support@firebase.google.com
- Forum : https://stackoverflow.com/questions/tagged/firebase
- Status : https://status.firebase.google.com/
CNIL (France)
- Email : cnil@cnil.fr
- Téléphone : +33 1 53 73 22 22
- Site : https://www.cnil.fr/
10. Historique des Modifications
| Date | Auteur | Modification |
|---|---|---|
| 11/11/2025 | Cascade | Création initiale |
Document créé par Cascade - Ressources officielles pour Yinshi