Sécurité

Les webhooks se situent entre vos systèmes et ceux de vos clients. Nous les traitons comme une infrastructure critique.

Livraison signée

Chaque webhook que nous envoyons est signé en HMAC-SHA256. Vos consommateurs vérifient la signature avec un secret partagé : ils peuvent ainsi faire confiance à l'origine et à l'intégrité du payload. Les secrets sont rotables à tout moment.

Chiffrement

• En transit : TLS sur chaque connexion, entrante comme sortante.
• Au repos : payloads et secrets sont chiffrés dans nos datastores européens.

La fiabilité comme propriété de sécurité

• Retries exponentiels automatiques en cas d'échec.
• Replay manuel de n'importe quel événement passé.
• Journaux de livraison complets et interrogeables pour l'audit et la gestion d'incidents.

Infrastructure européenne et auditable

Toutes les données d'événements sont hébergées dans l'UE (France). Nous nous appuyons sur des composants ouverts et largement audités, et tenons notre liste de sous-traitants publique et versionnée. Voir notre engagement de souveraineté.

Divulgation responsable

Vous avez trouvé une vulnérabilité ? Écrivez à security@wehook.io. Nous accusons réception rapidement et travaillerons avec vous sur un correctif. Merci de ne pas divulguer publiquement avant que nous ayons pu répondre.