Cette page explique, sans bullshit, comment Ts-Shop protège votre argent, vos clés, vos données clients, et votre boutique. Si quelque chose n'est pas clair, écrivez à contact@ts-services.com.
0 €
de votre argent transite par Ts-Shop. Jamais. Vos paiements vont de la carte de votre client directement à votre compte chez votre prestataire de paiement.
C'est ça, le principe BYOK.
Les six piliers
1
Votre argent ne nous traverse jamais
Le principe BYOK (« Bring Your Own Key »): vous gardez votre contrat avec votre prestataire de paiement (Stripe, Mollie, PayPlug…). Quand un client achète, le paiement va de sa carte directement à votre compte chez votre prestataire. Ts-Shop ne fait que déclencher la requête — on ne pool pas vos fonds, on n'a pas de cagnotte intermédiaire.
Concrètement : aucune donnée carte bancaire ne transite par nos serveurs. La conformité PCI-DSS est intégralement déléguée à votre prestataire de paiement, qui est le seul à voir les informations sensibles.
2
Vos clés API chiffrées au repos
Quand vous nous donnez vos clés API pour qu'on puisse déclencher des paiements chez votre prestataire, on les chiffre côté backend avant stockage. Elles ne sont jamais ré-affichées en clair (juste les 4 derniers caractères), jamais transmises au navigateur, jamais loguées.
Si un attaquant compromettait notre base de données (chose qu'on travaille évidemment à empêcher), les clés resteraient inutilisables sans la clé de déchiffrement, qui vit ailleurs.
3
Personne ne peut « voler » votre boutique
Chaque boutique vit dans un scope tenant isolé (via Ts-Identity). Vos produits, médias, commandes, clients et clés sont liés cryptographiquement à votre `shopId`. Un autre compte ne peut pas les réclamer, les exporter, ou les republier.
Et si vous décidez un jour de partir : export CSV complet de vos données (produits, commandes, clients) en un clic, à tout moment. Ts-Shop ne vous prend pas en otage.
4
Widget anti-clonage
Le widget JavaScript embarquable vérifie le domaine sur lequel il s'exécute. Vous déclarez vos domaines autorisés dans le dashboard (par ex. `boutique.lola.fr` et `lola-pizzas.fr`). Sur tout autre domaine, le widget refuse de se charger.
Quelqu'un qui copierait votre snippet `<div data-ts-shop="buy" data-shop="lola">` sur son propre site verrait une iframe vide. Pas de vente détournée possible.
5
Authentification forte de votre compte
OAuth via Google, GitHub ou LinkedIn (recommandé pour la robustesse) ou email + mot de passe. 2FA TOTP optionnelle sur le plan Pro, obligatoire sur Business. Sessions liées au navigateur via cookies HttpOnly + SameSite + Secure.
Headers HTTP stricts : HSTS (HTTPS forcé), CSP (Content Security Policy), X-Frame-Options. On limite ce que peut faire un script chargé dans votre dashboard, même en cas de XSS.
6
Audit logs & alertes
Chaque action sensible est journalisée : configuration prestataire de paiement, suppression d'un produit, ajout/retrait d'un utilisateur (Business), changement de mot de passe. Vous voyez l'historique complet dans votre dashboard.
Alerte email instantanée à chaque nouvelle connexion depuis un appareil inconnu, avec localisation approximative. Vous pouvez révoquer une session à distance en un clic.
Ce qu'on fait. Ce qu'on ne fait pas.
Ts-Shop fait ça
✓Vos paiements vont directement chez votre prestataire de paiement
✓Clés API chiffrées au repos, ré-affichées masquées
✓Widget vérifie l'origine du site appelant
✓Authentification 2FA disponible (obligatoire sur Business)
✕Pas de cagnotte intermédiaire — on ne garde pas vos sous
✕Pas d'accès à vos DM Instagram / TikTok
✕Pas de revente / partage de vos données clients
✕Pas de cookie analytique avant consentement RGPD
✕Pas de carte bancaire stockée chez nous (PCI 100 % délégué)
✕Pas de lock-in : vous partez quand vous voulez, avec vos données
Les questions qu'on nous pose
Si Ts-Shop ferme, je perds tout ?
Non. Vous gardez votre prestataire de paiement (Stripe / Mollie…), donc vos paiements en cours ne sont pas affectés. Votre catalogue est exportable en CSV à tout moment. En cas d'arrêt du service, on s'engage à fournir 90 jours de transition + export complet.
Et si un pirate accède à mon compte Ts-Shop ?
Avec la 2FA activée, c'est très difficile. Même dans ce cas, il ne peut pas siphoner votre argent : les fonds vont chez votre prestataire de paiement, pas chez nous. Au pire, il pourrait dépublier vos produits ou modifier les clés API — actions journalisées, réversibles, et alertées par email.
Vos employés peuvent-ils voir mes commandes ?
L'équipe Ts-Services a un accès strictement encadré à la base de production (pour le support et le debug). Chaque accès est logué. Les clés secrètes prestataire ne sont jamais lisibles, même en interne.
RGPD ?
By design : minimisation des données collectées, sous-traitants tous européens (OVHcloud pour le backend en France, Vercel pour le frontend en UE), droits d'accès / rectification / suppression sous 30 jours. Politique de confidentialité détaillée sur cette page.
Une question de sécurité spécifique ?
Notre équipe répond en moins de 24h (4h ouvrées sur le plan Business).