Sécurité

Pratiques de sécurité de Rothshaw

Cette page décrit les mesures techniques et organisationnelles mises en place pour protéger les visiteurs, l'intégrité du contenu et la disponibilité du site.

Chiffrement en transit

Toutes les connexions au site sont chiffrées en HTTPS à l'aide de certificats TLS renouvelés automatiquement. Les versions TLS 1.0 et 1.1 sont refusées ; seuls TLS 1.2 et TLS 1.3 sont acceptés, avec une suite de chiffrement limitée aux algorithmes AEAD modernes (CHACHA20-POLY1305, AES-GCM).

En-têtes de sécurité

• HSTS avec durée de deux ans et inclusion dans la preload list
• Politique de sécurité du contenu (CSP) avec directive strict-dynamic
• Options X-Frame-Options DENY et Cross-Origin-Resource-Policy
• Permissions Policy restreignant les API sensibles (caméra, micro, géolocalisation)

Hébergement et surveillance

Le site est hébergé sur Google Cloud Run dans la région europe-west9 (Paris). Les journaux d'accès sont conservés pour analyse de sécurité pendant une durée maximale de douze mois. Aucune information bancaire n'est demandée, reçue ou stockée.

Signalement de vulnérabilité

Si vous identifiez une vulnérabilité sur Rothshaw, écrivez à contact@rothshaw-france.one en précisant la page, l'horodatage, le navigateur utilisé et la nature de la vulnérabilité. Les signalements de bonne foi reçoivent une réponse dans un délai raisonnable.