Secrets et tokens
- Ne jamais exposer le
license bearer côté navigateur public.
- Stocker les secrets dans un coffre ou des variables d'environnement sécurisées.
- Limiter la durée de rétention des tokens en logs.
Journalisation
- Journaliser les erreurs techniques sans données de santé.
- Masquer les valeurs sensibles (
Authorization, tokens, PIN, identifiants).
- Tracer les événements de sécurité (échecs répétés, accès refusés).
Bonnes pratiques d'intégration
- Utiliser TLS sur tous les échanges distants.
- Séparer strictement les environnements test et production.
- Appliquer le principe du moindre privilège sur les accès internes.
- Respecter les obligations réglementaires applicables aux Téléservices utilisés.
- Définir une politique de conservation des données techniques.
- Formaliser une procédure de gestion d'incident de sécurité.