Sécurité chez BillyBox
Comment nous gérons vos e-mails, factures et identifiants.
Dernière revue : juin 2026
Vérifié par Google pour l'accès Gmail
BillyBox a passé la revue de sécurité OAuth de Google et une évaluation indépendante CASA Tier 2. Portée Gmail en lecture seule, chiffrement AES-256-GCM des identifiants, hébergement UE.
Audit indépendant
BillyBox a passé l'évaluation de sécurité CASA Tier 2 menée par TAC Security. L'audit a couvert la sécurité applicative (OWASP ASVS), la gestion des données et la justification des portées OAuth. La même évaluation soutient notre vérification OAuth de Google.
Visiter TAC SecurityChiffrement
Les identifiants de messagerie et les jetons de rafraîchissement OAuth sont chiffrés au repos avec AES-256-GCM. Tout le trafic est servi via TLS 1.2+. La base de données et le stockage objet chiffrent les données au repos par défaut.
Contrôle d'accès
Chaque utilisateur dispose d'une session JWT personnelle (jeton d'accès 30 min, rafraîchissement 7 jours). Factures, pièces jointes et identifiants sont liés à votre ligne utilisateur — pas d'espace partagé, pas d'accès navigation admin, aucune analyse du contenu des documents.
Hébergement et résidence des données
L'application et la base de données tournent dans la région UE de Railway. Les pièces jointes PDF et images sont stockées sur Cloudflare R2 (UE). Aucune donnée ne quitte l'UE en fonctionnement normal.
Traitement des données
Portées Gmail/Outlook en lecture seule — BillyBox ne peut ni envoyer, ni modifier, ni supprimer vos e-mails. Seuls les messages pertinents pour les factures et leurs pièces jointes sont conservés ; le reste est rejeté après le fetch. Vous pouvez déconnecter une boîte ou supprimer votre compte à tout moment.
Signaler une vulnérabilité
Écrivez à security@billybox.app avec les détails. Nous visons un accusé de réception sous deux jours ouvrés.