🇫🇷
Application & génération de pass
AWS, région Paris (eu-west-3).
Hébergement & Infrastructure
Vos données hébergées en Europe.
L'intégralité des bases de données contenant les informations de vos clients finaux ainsi que les services critiques de génération et de mise à jour des pass sont hébergés en France et dans l'Union européenne, chez des hébergeurs reconnus du marché.
📦
Stockage fichiers & certificats
AWS S3, infrastructure européenne.
🗄️
Bases de données métier
MongoDB et PostgreSQL, hébergement européen.
🛠️
Backoffice & services internes
VM hébergée en Europe.
Nos hébergeurs disposent des plus hautes certifications du marché (ISO 27001, SOC 2 Type II), garantissant la qualité de leurs centres de données, de leur surveillance physique et logique, et de leur continuité opérationnelle.
Protection des données personnelles
Sous-traitant RGPD, par construction.
Dans le cadre du RGPD, Walleett agit comme sous-traitant au sens de l'article 28. Les clients (les marques, enseignes ou organisateurs) restent responsables du traitement des données qu'ils nous confient. Nous traitons ces données strictement selon leurs instructions, et uniquement pour fournir le service souscrit.
Notre engagement contractuel
Chaque client reçoit un Data Processing Agreement (DPA) qui formalise notre rôle de sous-traitant, encadre les conditions de traitement, et précise les engagements mutuels conformément à l'article 28 du RGPD.
Données traitées
Walleett traite uniquement les données que nos clients nous transmettent pour générer et animer leurs pass. La nature exacte de ces données dépend du paramétrage choisi : identifiants opaques, variables de personnalisation (prénom, numéro de fidélité, points...), ou identifiants techniques nécessaires aux Wallets Apple et Google.
Droits des personnes
Les droits d'accès, rectification, suppression et portabilité s'exercent auprès du responsable de traitement (la marque ou l'enseigne qui détient la relation client). Walleett met à disposition les fonctionnalités techniques nécessaires (suppression de membres, export de données).
Architecture sécurité
Une protection à plusieurs niveaux.
La sécurité technique de Walleett repose sur des mécanismes éprouvés et des standards reconnus du marché. Voici les principaux dispositifs en place.
🔒
Chiffrement au repos
Les certificats Apple Wallet et Google Wallet sont chiffrés en AES-256-GCM, avec des clés dérivées de manière unique pour chaque client (isolation cryptographique stricte entre tenants).
🔐
Chiffrement en transit
Toutes les communications utilisent TLS, avec HSTS appliqué en production. Les communications avec Apple Push Notification Service utilisent un chiffrement TLS avec authentification par certificat.
🔑
Authentification renforcée
Mots de passe et secrets API hachés en bcrypt avec un facteur de coût élevé (jamais stockés en clair). Sessions gérées via JWT avec expiration automatique.
🛡️
Contrôle d'accès aux API
Chaque clé API est scopée par marque et peut être restreinte à une plage d'IP. Les rate limits sont configurables et appliqués au niveau de chaque clé.
🚦
Protection contre les attaques
Rate limiting progressif par IP en cas d'échecs d'authentification répétés. Blocage temporaire automatique pour limiter les tentatives par force brute.
✍️
URLs de pass protégées
Chaque URL de téléchargement de pass est signée par HMAC-SHA256, garantissant l'authenticité et empêchant toute falsification.
Rétention & Cycle de vie
Chaque donnée a une durée de vie définie.
Conformément au principe de minimisation du RGPD, nous conservons les données pour la durée strictement nécessaire à la fourniture du service. Notre politique de rétention différencie les données selon leur nature et leur finalité.
♾️
Données métier (membres, pass, audiences)
Conservées tant que le client les utilise activement. Suppressibles à tout moment sur demande, avec une procédure technique en plusieurs étapes (révocation côté Apple, suppression côté Google, effacement des fichiers et de la base).
📋
Journaux d'audit techniques
Accès API et opérations conservés pour une durée maximale de 12 mois, puis automatiquement supprimés.
⏱️
Données techniques temporaires
Jobs, quotas, événements de notifications purgés automatiquement selon des durées de vie courtes (de 48 heures à 30 jours selon la nature).
📊
Données de facturation
Conservées 10 ans conformément aux obligations comptables et fiscales françaises.
Les adresses IP des utilisateurs finaux ne sont pas conservées. Les adresses IP des appels API sont tracées dans les journaux d'audit techniques pendant 12 mois à des fins de sécurité et de détection des abus, puis supprimées automatiquement. Les informations de localisation utilisées pour les fonctionnalités contextuelles (pays, ville) sont dérivées en mémoire et ne sont pas persistées.
Conformité aux plateformes Wallet
Un partenariat encadré
Un partenariat encadré
avec Apple et Google.
Walleett est officiellement enregistré auprès du Apple Developer Program et du Google Wallet Issuer Program. Notre architecture respecte les conditions imposées par les deux plateformes.
Gestion des certificats
Walleett offre deux modes de gestion des certificats Apple Wallet et Google Wallet :
- Mode délégué - Vous utilisez les certificats Walleett pour un démarrage rapide, sans démarches administratives à effectuer auprès d'Apple ou de Google (ouvert uniquement à de petites structures à faible volumes de pass)
- Mode souverain - Vous utilisez vos propres certificats émis par Apple et Google, pour conserver la pleine maîtrise de votre identité d'émetteur de pass.
Transferts internationaux
Apple et Google étant des sociétés américaines, les opérations de génération et de distribution de pass impliquent un transfert de certaines données vers leurs serveurs aux États-Unis. Ces transferts sont encadrés par le EU-US Data Privacy Framework dont Apple et Google sont signataires, garantissant un niveau de protection équivalent au RGPD européen. Les conditions précises figurent dans notre DPA, communiqué à chaque client.
Sous-traitants techniques
Une chaîne de partenaires soigneusement sélectionnée.
Pour fournir notre service, Walleett s'appuie sur un nombre limité de sous-traitants techniques sélectionnés pour leur fiabilité, leur conformité réglementaire et leur niveau de sécurité. La liste complète de nos sous-traitants, avec leurs finalités, leurs juridictions et leurs garanties contractuelles, est communiquée à nos clients sur demande.
Tout ajout ou changement de sous-traitant est notifié à nos clients dans les conditions prévues par leur Data Processing Agreement, conformément à l'article 28 du RGPD.
Disponibilité & Continuité
Un service conçu pour rester disponible.
La haute disponibilité de Walleett repose sur les infrastructures de nos hébergeurs et sur une architecture pensée pour la résilience.
💾
Sauvegardes automatiques
Les bases de données sont sauvegardées automatiquement par nos hébergeurs, avec des points de restauration permettant un retour en arrière en cas d'incident.
🏗️
Architecture résiliente
Les services critiques (génération de pass, notifications, mise à jour) reposent sur une architecture serverless et distribuée, conçue pour absorber les pics de charge.
👀
Surveillance continue
Notre infrastructure est monitorée en permanence pour détecter et traiter rapidement toute anomalie.
Une question ?
Notre équipe répond à vos questions de sécurité.
Que vous soyez en phase d'évaluation, de référencement fournisseur ou en audit interne, nous vous répondons rapidement.
