dTax est conçu avec la sécurité à chaque niveau. Voici comment nous protégeons vos données et pourquoi vous pouvez faire confiance à notre plateforme.
dTax ne collecte que les enregistrements de transactions que vous fournissez explicitement — via le téléchargement CSV ou la synchronisation API en lecture seule. Nous ne collectons JAMAIS les clés privées, les phrases de récupération de portefeuille ou les informations d'identification de retrait. Nous ne pouvons en aucun cas déplacer, dépenser ou accéder à vos fonds.
Les clés API des exchanges sont chiffrées au repos en utilisant le chiffrement AES avec une ENCRYPTION_KEY dédiée. Les mots de passe des utilisateurs sont hachés avec bcrypt (12 tours) — nous ne stockons jamais les mots de passe en clair. Toute l'authentification utilise des jetons JWT sans état, minimisant la surface d'attaque des sessions côté serveur.
Les connexions aux exchanges utilisent CCXT en mode lecture seule — aucune permission de retrait ou de trading n'est demandée ou prise en charge. Les données des utilisateurs sont isolées au niveau de la base de données avec des principes de sécurité au niveau des lignes, garantissant qu'un utilisateur ne peut jamais accéder aux données d'un autre.
Vous ne faites confiance à personne avec vos données financières ? Hébergez dTax vous-même avec Docker et conservez tout sur votre propre serveur. Le moteur fiscal principal est open source AGPL-3.0 — vous pouvez inspecter chaque ligne de code qui touche vos données.
Les jetons JWT avec rotation de rafraîchissement garantissent une authentification sécurisée et sans état. La limitation de débit protège contre les attaques par force brute : 100 requêtes/min globalement, 10/min pour la connexion, 5/min pour l'inscription. Le contrôle d'accès basé sur les rôles sépare les privilèges des utilisateurs et des administrateurs.
Le moteur fiscal de dTax est entièrement open source sur GitHub. Chaque calcul, chaque analyseur, chaque algorithme est auditable par la communauté. Il n'y a pas de collecte de données cachées, pas de télémétrie, pas de cookies d'analyse. Ce que vous voyez dans le code est ce qui s'exécute.
dTax suit les directives de sécurité OWASP Top 10. Toutes les entrées utilisateur sont validées avec des schémas Zod. L'injection SQL est évitée en utilisant Prisma ORM avec des requêtes paramétrées — pas de SQL brut. Les réponses API ne divulguent jamais les détails d'erreur internes en production.
Des questions sur la sécurité ?
Ouvrir une issue sur GitHub