Par où commencer avec Chaindoc ?

Rendez-vous dans le guide Démarrage rapide. Il vous accompagne pour créer un compte, télécharger votre premier document et l'envoyer pour signature. Comptez environ cinq minutes si vous avez déjà un document prêt.

Existe-t-il une référence API ?

Oui. La référence API couvre tous les endpoints, y compris l'authentification, le téléchargement de documents, la gestion des signataires et la configuration des webhooks. Chaque endpoint inclut des exemples de requêtes et de réponses que vous pouvez tester dans le sandbox.

Quels SDK sont disponibles pour Chaindoc ?

Chaindoc propose des SDK pour JavaScript/TypeScript, Python et Go. La page SDK et bibliothèques contient les instructions d'installation et des exemples de code. Si votre langage n'est pas listé, l'API REST fonctionne avec n'importe quel client HTTP.

Comment fonctionnent les webhooks dans Chaindoc ?

Chaindoc envoie des requêtes POST à votre endpoint lorsqu'un événement se produit : document signé, consulté, expiré, etc. Le guide des webhooks montre comment configurer les endpoints, vérifier les signatures et gérer les nouvelles tentatives.

Ai-je besoin d'un compte pour utiliser le sandbox Chaindoc ?

Oui, mais c'est gratuit. Inscrivez-vous sur chaindoc.io et vous obtiendrez automatiquement l'accès au sandbox. Pas besoin de carte de crédit. Le sandbox reflète la production, donc tout ce que vous y construirez fonctionnera de la même manière lors du basculement.

Où puis-je trouver des exemples de code Chaindoc ?

Chaque page de documentation contient des extraits de code intégrés. Pour des exemples complets et fonctionnels, la section guides inclut des flux de signature de bout en bout, des opérations en masse et des workflows basés sur des modèles avec du code prêt à copier-coller.

Bonnes pratiques de sécurité

Chaindoc chiffre vos documents au repos (AES-256) et en transit (TLS 1.3), vérifie l'intégrité sur la blockchain et trace chaque action. Voici ce qui est activé par défaut — et ce qu'il faut configurer avant la mise en production.

La majeure partie de la sécurité fonctionne sans intervention. N'oubliez pas d'activer certaines options essentielles (MFA, restrictions IP) et d'adopter de bonnes habitudes d'équipe (rotation des clés, révisions d'accès). Ce guide couvre les deux aspects.

Authentification

Authentification multi-facteur

Activez la MFA pour tout le monde, pas seulement les admins. C'est la mesure la plus efficace qui soit. Chaindoc est compatible avec :

Applications d'authentification (TOTP) — Google Authenticator, Authy, 1Password
Codes SMS — fonctionne mais moins sûr. Préférez les apps d'authentification quand c'est possible.
Clés de sécurité matérielles (FIDO2/WebAuthn) — l'option la plus robuste
Authentification biométrique sur mobile

Politiques de mot de passe

Si vous n'utilisez pas le SSO, imposez des mots de passe solides. Chaindoc permet de configurer la longueur minimale (12+ caractères recommandés), la complexité, les délais d'expiration et le verrouillage après échecs. Vous pouvez aussi bloquer la réutilisation des 10 derniers mots de passe.

Contrôle d'accès basé sur les rôles

Donnez l'accès strictement nécessaire. Chaindoc propose des rôles prédéfinis (Propriétaire, Admin, Manager, Membre, Invité, Auditeur) et des rôles personnalisés avec permissions granulaires. Révisez les attributions tous les trimestres et supprimez ce qui ne sert plus. Consultez la documentation équipes pour la configuration.

Chiffrement

Au repos

Tous les documents sont chiffrés en AES-256 en stockage. Les sauvegardes utilisent des clés distinctes. Les clés de chiffrement sont gérées via un KMS dédié et renouvelées chaque trimestre.

En transit

Chaque connexion utilise TLS 1.3. Les suites de chiffrement faibles sont désactivées. Les en-têtes HSTS empêchent tout retour en HTTP. Ça s'applique à l'app web, à l'API et aux transactions blockchain.

Sécurité des clés API

Les clés API sont la source la plus fréquente de problèmes de sécurité. Une clé secrète exposée donne un accès complet à votre compte Chaindoc.

Règles de gestion des clés

Ne mettez jamais de clés secrètes (`sk_`) dans du code client. Elles vont uniquement sur votre backend. Stockez-les dans des variables d'environnement ou un gestionnaire de secrets (pas dans votre repo). Utilisez des clés de test (`sk_test_`) en développement. Renouvelez les clés de production tous les 90 jours. Si une clé fuite, révoquez-la immédiatement dans votre tableau de bord.

Les clés publiques (`pk_`) sont conçues pour le frontend et n'ont qu'un accès en lecture seule, donc elles peuvent figurer sans risque dans les bundles client. Pour plus de détails sur les types de clés, consultez le guide d'intégration API.

Vérification blockchain

Chaque document publié reçoit un hash inscrit sur la blockchain. Voici le truc : même avec un accès direct à la base de données, personne ne peut modifier un document sans invalider le hash blockchain.

Les hashes sont enregistrés à la publication et à chaque changement d'état (signatures, annulation, etc.)
Les reçus de transaction sont stockés avec le document pour faciliter la vérification
N'importe qui peut vérifier un document indépendamment contre la blockchain
L'enregistrement est permanent — il survit même si Chaindoc disparaît

Pour les documents à haute valeur, honnêtement, ça vaut le coup de vérifier l'enregistrement blockchain après signature pour confirmer que tout correspond.

Sécurité des webhooks

Si vous utilisez des webhooks, vérifiez la signature HMAC sur chaque requête entrante. Sans ça, quelqu'un pourrait envoyer de faux événements à votre endpoint. Le guide des webhooks contient le code de vérification.

Conformité

L'infrastructure Chaindoc est certifiée SOC 2 Type II. Selon votre secteur, vous devrez peut-être configurer des options supplémentaires :

GDPR — options de résidence des données (UE, US, Asie), droit à l'effacement, portabilité. Les politiques de rétention gèrent la suppression automatique.
HIPAA — journalisation d'audit et contrôles d'accès pour les documents médicaux. Contactez le support pour un BAA.
SOC 2 — les contrôles de sécurité sont documentés. Des audits tiers annuels sont réalisés.
eIDAS / ESIGN Act / UETA — la conformité des signatures est intégrée pour les trois types de signature.
ISO 27001 — les pratiques de gestion de la sécurité de l'information suivent la norme ISO 27001.

Journalisation d'audit

Chaindoc trace chaque action : connexions, accès aux documents, modifications, événements de signature, changements de permissions et appels API. Les logs sont stockés dans un système inviolable et conservés au moins un an (plus longtemps si votre politique de rétention l'exige).

Vous pouvez exporter les logs d'audit pour des révisions de conformité externes. Les échecs de connexion et activités suspectes déclenchent des alertes si vous avez configuré la surveillance.

Surveillance et réponse aux incidents

Configurez des alertes pour les échecs de connexion, l'activité API inhabituelle et les escalades de permissions. Chaindoc s'intègre aux systèmes SIEM si votre équipe de sécurité en utilise un.

Préparez un plan de réponse aux incidents. Savoir qui contacter, quoi désactiver et comment communiquer en cas de breach. Testez ce plan au moins une fois par an. Pour tout incident de sécurité impliquant Chaindoc, écrivez à security@chaindoc.com.

Checklist pré-production

En pratique, voici ce qu'il faut vérifier avant la mise en ligne :

MFA activée pour tous les comptes
Politiques de mot de passe configurées (12+ caractères, verrouillage après 5 échecs)
Rôles attribués avec accès minimal nécessaire
Chiffrement AES-256 confirmé (activé par défaut)
TLS 1.3 imposé sur tous les endpoints
Clés API stockées dans des variables d'environnement ou gestionnaire de secrets
Clés de test remplacées par des clés de production
Limitation de débit configurée pour les endpoints API
Vérification HMAC des webhooks implémentée
Journalisation d'audit activée et période de rétention définie
Surveillance de sécurité et alertes configurées
Plan de réponse aux incidents documenté
Sauvegardes testées (essayez une restauration)
Exigences de conformité documentées et satisfaites

Ce qu'il faut retenir

Gestion des équipes — configurez les rôles et contrôles d'accès
Signatures — comprenez les types de signature et la conformité
Intégration API — sécurisez votre implémentation API
Webhooks — vérification HMAC et gestion des événements
Documents — contrôle d'accès et politiques de rétention

Documentation