Sécurité
Quelques règles pour intégrer Mooteck sereinement. Côté plateforme, les secrets d'intégration sont chiffrés au repos (AES-256-GCM) ; à vous de protéger vos clés et de vérifier vos signatures.
Gardez la clé côté serveur
N'exposez jamais votre clé d'API dans du code client (navigateur, app mobile). Faites transiter les appels par votre backend. Privilégiez l'en-tête x-api-key plutôt que la query string (qui finit dans les journaux).
Révoquez et faites tourner les clés
En cas de doute sur une fuite, désactivez l'intégration dans Mooteck et recréez-en une. Les secrets ne sont montrés qu'à la création — stockez-les dans un coffre (secret manager).
Vérifiez toujours la signature
Signez vos webhooks entrants en HMAC-SHA256 sur le corps brut, avec le webhookSecret. Comparez en temps constant. Une requête non signée ou mal signée est rejetée (401).
Traitez les événements de façon idempotente
Le point de réception ne vérifie pas d'horodatage : dédupliquez par identifiant métier pour absorber d'éventuels renvois sans créer de doublons.
Principe du moindre privilège
N'activez que les bascules de synchronisation nécessaires (catalogue, stock, rendez-vous). Côté plateforme e-commerce, créez des clés à portée minimale.
HTTPS et anti-spam
Tous les échanges sont en HTTPS. Les formulaires publics (leads) intègrent un honeypot et une limite de débit : conservez le champ website (piège) et espacez vos requêtes.
Signaler une vulnérabilité
Vous pensez avoir trouvé une faille ? Écrivez-nous àsecurity@mooteck.comavant toute divulgation. Merci de nous laisser un délai raisonnable pour corriger.