Ts-Shop

Sécurité chez Ts-Shop

On parle de vos sous. Donc on parle de sécurité.

Cette page explique, sans jargon, comment Ts-Shop protège votre argent, vos accès, vos données clients, et votre boutique. Si quelque chose n'est pas clair, écrivez à contact@ts-services.com.

0 €

de votre argent transite par Ts-Shop. Jamais. Vos paiements vont de la carte de votre client directement à votre compte chez votre prestataire de paiement.

C'est ça, le principe : votre argent va chez vous, pas chez nous.

Les six piliers

1

Votre argent ne nous traverse jamais

Vous gardez votre contrat avec votre prestataire de paiement (Stripe, Mollie, PayPlug…). Quand un client achète, le paiement va de sa carte directement à votre compte chez votre prestataire. Ts-Shop ne fait que déclencher la requête — on ne pool pas vos fonds, on n'a pas de cagnotte intermédiaire.

Concrètement : aucune donnée carte bancaire ne transite par nos serveurs. La conformité PCI-DSS est intégralement déléguée à votre prestataire de paiement, qui est le seul à voir les informations sensibles.

2

Vos clés API chiffrées au repos

Pour pouvoir déclencher des paiements chez votre prestataire, on a besoin de vos clés API. Elles sont chiffrées côté backend avant stockage. Jamais ré-affichées en clair après la saisie initiale (seuls les 4 derniers caractères restent visibles), jamais transmises au navigateur, jamais loguées.

Si un attaquant compromettait notre base de données (chose qu'on travaille évidemment à empêcher), les clés resteraient inutilisables sans la clé de déchiffrement, qui vit ailleurs.

3

Personne ne peut « voler » votre boutique

Chaque boutique vit dans un scope isolé (via Ts-Identity). Vos produits, médias, commandes, clients et accès sont liés à votre shopId. Un autre compte ne peut pas les réclamer, les exporter, ou les republier.

Et si vous décidez un jour de partir : export CSV complet de vos données (produits, commandes, clients) en un clic, à tout moment. Ts-Shop ne vous prend pas en otage.

4

Widget anti-clonage

Le widget JavaScript embarquable vérifie le domaine sur lequel il s'exécute. Vous déclarez vos domaines autorisés dans le dashboard (par ex. boutique.lola.fr et lola-pizzas.fr). Sur tout autre domaine, le widget refuse de se charger.

Quelqu'un qui copierait votre snippet sur son propre site verrait une iframe vide. Pas de vente détournée possible.

5

Authentification forte de votre compte

OAuth via Google, GitHub ou LinkedIn (recommandé pour la robustesse) ou email + mot de passe. 2FA TOTP optionnelle sur le plan Pro, obligatoire sur Business. Sessions liées au navigateur via cookies HttpOnly + SameSite + Secure.

En-têtes HTTP stricts : HSTS (HTTPS forcé), CSP (Content Security Policy), X-Frame-Options. On limite ce que peut faire un script chargé dans votre dashboard, même en cas de XSS.

6

Audit logs & alertes

Chaque action sensible est journalisée : configuration prestataire de paiement, suppression d'un produit, ajout/retrait d'un utilisateur (Business), changement de mot de passe. Vous voyez l'historique complet dans votre dashboard.

Alerte email instantanée à chaque nouvelle connexion depuis un appareil inconnu, avec localisation approximative. Vous pouvez révoquer une session à distance en un clic.

Ce qu'on fait. Ce qu'on ne fait pas.

Ts-Shop fait ça

  • Vos paiements vont directement chez votre prestataire de paiement
  • Clés API chiffrées au repos, ré-affichées masquées
  • Widget vérifie l'origine du site appelant
  • Authentification 2FA disponible (obligatoire sur Business)
  • Export CSV complet de vos données à tout moment
  • Audit logs sur toutes les actions sensibles
  • Headers HTTP stricts (HSTS, CSP, SameSite cookies)
  • Sous-traitants européens (RGPD-friendly)

Ts-Shop ne fait pas ça

  • Pas de cagnotte intermédiaire — on ne garde pas vos sous
  • Pas d'accès à vos DM Instagram / TikTok
  • Pas de revente / partage de vos données clients
  • Pas de cookie analytique avant consentement RGPD
  • Pas de carte bancaire stockée chez nous (PCI 100 % délégué)
  • Pas de lock-in : vous partez quand vous voulez, avec vos données

Les questions qu'on nous pose

Si Ts-Shop ferme, je perds tout ?

Non. Vous gardez votre prestataire de paiement (Stripe / Mollie…), donc vos paiements en cours ne sont pas affectés. Votre catalogue est exportable en CSV à tout moment. En cas d'arrêt du service, on s'engage à fournir 90 jours de transition + export complet.

Et si un pirate accède à mon compte Ts-Shop ?

Avec la 2FA activée, c'est très difficile. Même dans ce cas, il ne peut pas siphonner votre argent : les fonds vont chez votre prestataire de paiement, pas chez nous. Au pire, il pourrait dépublier vos produits ou modifier les accès — actions journalisées, réversibles, et alertées par email.

Vos employés peuvent-ils voir mes commandes ?

L'équipe Ts-Services a un accès strictement encadré à la base de production (pour le support et le debug). Chaque accès est logué. Les clés secrètes prestataire ne sont jamais lisibles, même en interne.

RGPD ?

By design : minimisation des données collectées, sous-traitants tous européens (Infomaniak pour le backend en Suisse / datacenters européens, Vercel pour le frontend en UE), droits d'accès / rectification / suppression sous 30 jours. Voir la politique de confidentialité pour le détail.

Une question de sécurité spécifique ?

Notre équipe répond en moins de 24 h (4 h ouvrées sur le plan Business).

Nous écrire