Sécurité et Responsabilités des Partenaires
L'utilisation de notre API implique des responsabilités importantes en matière de sécurité et de confidentialité des données. Ce document vise à rappeler les bonnes pratiques à respecter et à préciser les responsabilités des partenaires dans l’usage de notre API.
🔐 Sécurité des identifiants
Chaque partenaire dispose de clés d'authentification uniques (API keys, tokens, etc.) permettant d'accéder à l'API. Ces identifiants sont strictement confidentiels et ne doivent en aucun cas être exposés publiquement, que ce soit dans :
- des dépôts de code partagés (ex : GitHub, GitLab),
- des interfaces accessibles sans authentification,
- des journaux ou fichiers de log non sécurisés,
- ou tout autre support accessible par des tiers non autorisés.
- y compris les emails que nous échangeons
Il est de votre responsabilité de les stocker et de les manipuler de manière sécurisée, en utilisant par exemple des variables d’environnement ou des coffres-forts numériques (secrets managers).
🛡️ Bonnes pratiques recommandées
Pour garantir la sécurité de vos intégrations, nous vous recommandons vivement de :
- Limiter les droits associés à chaque clé API (principe du moindre privilège).
Nous limitons vos accès aux seuls endpoints auxquels vous avez besoin, il reste néanmoins à votre charge de vous assurer que vos appels ne permettent pas d'accéder ou de manipuler de la donnée sans y avoir droit.
Limitez au maximum les informations redescendues par notre APIs aux seules qui vous sont utiles.
- Mettez en place une passerelle côté serveur
C'est votre serveur qui doit réaliser les appels aux APIs de Resamania. Cette passerelle aura l'interêt de
- Masquer les appels que vous réaliser réellement
- S'occuper de l'authentification, évitant de rendre visible vos credentials
- Limiter les informations redescendues aux seules informations utile au end-user
- Utilisez le mode d'authentification adéquat
Cf. rubrique dédiée : Notre API propose différents mode d'authentification selon vos besoins. Notamment si votre application permets au end-user d'appeler l'API (directement ou non).
- Mettre en place un mécanisme de rotation régulière des clés d’accès.
L'API Gateway vous permets de renouveller par vous même vos clés APIs depuis le developer portal.
- Utilisez les journaux appels API et créez des alertes
Le developer portal de l'API Gateway vous permets de suivre vos logs d'appels, et de créer des alertes quand vos appels reçoivent des erreurs (40x, 50x).
- Vérifier systématiquement l’origine et la validité des données échangées.
- Mettre à jour régulièrement vos dépendances et bibliothèques, pour éviter les failles connues.
🔄 Révocation et renouvellement
En cas de compromission (ou suspicion de compromission) de vos identifiants :
- Révoquez immédiatement la clé compromise depuis le developer portal.
- Générez une nouvelle clé.
- Prévenez l'équipe API pour nous tenir informés et vous faire accompagner.
📄 Protection des données
Les partenaires sont responsables du respect des obligations légales et réglementaires en matière de protection des données, notamment celles relatives au RGPD (Règlement Général sur la Protection des Données) pour les utilisateurs situés dans l’Union Européenne.
- Ne collectez et ne stockez que les données strictement nécessaires.
- Assurez-vous que vos systèmes sont conçus pour protéger ces données contre tout accès non autorisé.
- Toute fuite ou incident de sécurité impliquant nos API doit nous être notifié dans les plus brefs délais.
⚠️ Responsabilité
L’usage de notre API est placé sous la responsabilité pleine et entière du partenaire. Tout usage inapproprié, négligence dans la gestion des identifiants ou manquement aux bonnes pratiques de sécurité pourra entraîner :
- une suspension temporaire ou définitive de l’accès à l’API,
- voire des poursuites en cas de dommages avérés.
Nous vous remercions de votre vigilance et de votre coopération pour garantir un écosystème sécurisé et fiable.
Pour toute question concernant la sécurité ou pour signaler un incident, vous pouvez contacter notre équipe par email.