Vos actions strategiques en tant que Super Admin
Cette page liste les actions que vous seul pouvez prendre — elles ne se codent pas, elles relevent de votre responsabilite de proprietaire. Elles sont essentielles pour la securite et la perennite de Carlyto. Cochez-les au fur et a mesure.
Securite & conformite
Les decisions qui protegent votre plateforme et vos clients
1
Exiger les 8 protections de securite dans le cahier des charges back-end Urgent
Avant tout developpement back-end, faites figurer noir sur blanc dans le cahier des charges : HTTPS partout, mots de passe hashes, authentification a deux facteurs (2FA), protection force brute, pare-feu applicatif (WAF), limitation de debit, protection injections, sauvegardes chiffrees. Ne laissez jamais les developpeurs « voir plus tard ».
2
Faire signer une charte de securite aux developpeurs Important
Tout developpeur qui interviendra sur Carlyto doit signer un document precisant ses obligations : confidentialite des donnees, interdiction d'exporter la base, restitution des acces a la fin de mission, responsabilite en cas de fuite.
3
Garder les comptes Super Admin entre vos mains exclusivement Urgent
Les acces Super Admin ne se partagent jamais. Si quelqu'un doit acceder au back-office, il le fait avec son compte agent personnel (numero CLY-B2C ou CLY-B2B). Aucune exception, meme « juste 5 minutes ».
Conformite legale & RGPD
Obligations europeennes a respecter pour operer sur le marche EU
4
Mettre Carlyto en conformite RGPD Obligation legale
Vous etes legalement responsable des donnees personnelles de vos clients. Mentions legales et politique de confidentialite a jour, registre des traitements, consentement explicite pour les cookies, droit a l'oubli et a la portabilite des donnees. Les sanctions de la CNIL peuvent etre lourdes en cas de manquement.
5
Connaitre la procedure de notification de fuite (72 heures) Obligation legale
Si une intrusion touche des donnees clients, vous avez 72 heures legalement pour le declarer a la CNIL. Preparez la procedure a l'avance : qui contacter, quel formulaire, quels elements fournir. C'est pour cela que le systeme d'alerte de l'espace DEV est essentiel.
Choix strategiques
Decisions structurantes pour la perennite du projet
6
Ne JAMAIS gerer les paiements en direct Critique
Toujours passer par Stripe et PayPal pour les paiements. Ce sont eux qui portent la responsabilite et la securite bancaire. Ne stockez aucune donnee de carte bancaire chez vous, jamais. Aucune entreprise sereuse ne le fait sans certification PCI-DSS (couteux et complexe).
7
Choisir un hebergeur sereux Important
Railway pour le back-end et OVH pour le DNS sont de bons choix : infrastructures europeennes, conformes RGPD, fiables. Evitez l'hebergement low-cost qui ne tient pas la charge ni les attaques.
8
Planifier un audit de securite externe a moyen terme A planifier
Une fois le site lance et avec du volume reel, prevoyez un test d'intrusion professionnel (pentest). Cout : 3 000 a 10 000 €. Un specialiste tente de pirater votre site avec votre accord et vous fournit la liste des failles a corriger. Investissement qui se justifie pleinement quand vous gerez de vrais clients.
9
Souscrire une cyberassurance A planifier
Quand l'activite sera lancee et qu'elle generera du chiffre d'affaires, souscrivez une cyberassurance. En cas d'incident grave (intrusion reussie, fuite de donnees, blocage par rancongiciel), elle couvre les frais juridiques, la notification aux clients, la remise en service. Un filet de securite pour une entreprise serieuse.