Politique de confidentialité — API Structural Diff
1. Présentation
2. Données que vous soumettez
Pour utiliser l'API, vous envoyez des contenus JSON contenant des lignes, des options de configuration et un en-tête d'authentification. Ces données sont :
- Traitées uniquement en mémoire — les lignes sont comparées puis immédiatement ignorées. Aucun contenu n'est écrit dans une base de données persistante.
- Non partagées — le contenu de vos requêtes n'est jamais vendu ni partagé avec des tiers.
- Non liées à des identités — l'API n'exige aucune information personnelle dans les lignes elles-mêmes.
3. Clés API et authentification
L'accès requiert un en-tête x-api-key valide. Les clés sont provisonnées individuellement et stockées dans la variable d'environnement API_KEYS du serveur. La comparaison est effectuée en temps constant via crypto.timingSafeEqual pour prévenir les attaques temporelles. Aucune clé n'est enregistrée dans les journaux. Gardez votre clé confidentielle et signalez toute compromission immédiatement.
4. Journaux serveur
L'infrastructure enregistre automatiquement :
- L'adresse IP entrante (pour la limitation de débit).
- L'identifiant de requête (
x-request-id) pour le débogage. - L'horodatage, le code HTTP et la latence.
Les journaux sont écrits sur stdout uniquement via Winston. Aucune donnée n'est écrite dans une base de données. La durée de conservation dépend de la politique de la plateforme de déploiement.
5. Services tiers
express, helmet, cors, winston, morgan, joi. Tout le traitement a lieu sur le serveur de Mohamed Yaakoubi.6. Sécurité
x-api-key est obligatoire pour les endpoints qui retournent des données. Les clés sont comparées en temps constant, jamais enregistrées. helmet applique des en-têtes de sécurité HTTP standard.