SPECTER — SÉCURITÉ
La sécurité de votre site n'est pas un détail
Specter est un service commercialisé par Sphaire, auto-entreprise française. Cette page détaille les mesures concrètes que nous appliquons pour protéger vos données, votre site et vos paiements — à jour et sans formule marketing. Questions ? anthony@specter.website.
✓ Hébergement souverain et chiffrement
- Serveurs situés en France chez OVHcloud (Roubaix) — juridiction française uniquement.
- HTTPS sur 100 % des sites (certificats Let's Encrypt renouvelés automatiquement).
- Isolation par utilisateur système Linux dédié par service — un site compromis ne peut pas toucher un autre.
- Base de données SQLite locale, écritures transactionnelles (WAL).
✓ Paiements
- 100 % des paiements via Stripe (PCI-DSS Level 1 — la norme la plus stricte).
- Aucune donnée bancaire ne transite par nos serveurs, aucun numéro de carte n'est stocké.
- Factures conservées 10 ans (obligation comptable) avec horodatage Stripe.
- Annulation d'abonnement en 1 clic, côté Stripe Customer Portal (contrôle utilisateur total).
✓ Authentification et sessions
- Pas de mot de passe chez Specter : lien d'accès unique envoyé par email (magic link), valable 1 heure.
- Une fois cliqué, cookie de session signé HMAC-SHA256 (AUTH_SECRET), HttpOnly, Secure, SameSite=Lax, TTL 30 jours.
- Bouton « Révoquer toutes mes sessions » dans l'espace client — invalide instantanément tous les accès (y compris collaborateurs) sur tous les appareils.
- Collaborateurs : accès multi-rôles (owner / comptable), révocation granulaire par le titulaire.
- Actions sensibles (suppression RGPD, transferts) : code OTP à 6 chiffres envoyé par email, valable 10 min, max 5 tentatives.
✓ Emails professionnels
- Boîtes IMAP/SMTP fournies par OVH MX Plan — mêmes serveurs que les grandes entreprises françaises.
- Mots de passe des boîtes jamais stockés sur nos serveurs : générés serveur, affichés une fois, transmis directement à OVH.
- Réinitialisation de mot de passe possible depuis l'espace client à tout moment.
- Limite d'envoi 100 msg/h (OVH) pour éviter les abus et préserver la délivrabilité.
✓ Données personnelles & RGPD
- Data minimization : seules les données strictement nécessaires à la fourniture du service sont collectées.
- Droit à l'oubli self-service (article 17 RGPD) : suppression définitive en 2 clics + OTP, sans passer par le support.
- Portabilité : export ZIP complet de votre contenu à tout moment, depuis l'espace client.
- Factures conservées 10 ans (obligation comptable — Code de commerce L123-22), toutes les autres données sont effacées à la demande.
- Journal d'activité accessible dans l'espace client (dernières 100 actions — connexions, changements, emails créés, etc.).
✓ Continuité et transparence
- Plan de continuité contractuel : si Specter cessait son activité, vous êtes prévenu 60 jours à l'avance, avec archive ZIP de votre site et transfert gratuit du domaine (cf. CGV §4.4).
- Pas de vendor lock-in : votre domaine vous appartient, votre contenu est exportable à tout moment.
- Monitoring interne : alertes Discord en cas de paiement échoué, panne certificat, quota API dépassé.
✓ Ce que nous NE faisons pas
- Pas de tracking cross-site (Google Analytics, Meta Pixel, etc.) — votre site est propre de toute balise tierce.
- Pas de revente de données, jamais.
- Pas de partage avec des tiers hors des sous-traitants techniques strictement nécessaires (OVH pour l'hébergement, Stripe pour les paiements, Brevo pour les emails transactionnels).
- Pas de cookie marketing sur les sites hébergés par défaut.
Vulnérabilité repérée ? Écrivez à anthony@specter.website avec « [SECURITY] » dans l'objet. Réponse sous 24 h ouvrées, correctif sous 7 jours pour les failles critiques. Programme non rémunéré (auto-entrepreneur) mais remerciements publics si demandés.