<- Retour à l’accueil
Conçu pour les équipes de sécurité
Infrastructure hébergée dans l'UE avec validation d'origine, zéro collecte de données personnelles et révocation d'accès contrôlée par le client.
Hébergement UE et résidence des données
Validation d’origine + allowlist de domaines
Aucune collecte de PII
Ce que Stepsy fournit
- Liste d'origines autorisées appliquée côté serveur—les guides ne se chargent que sur les domaines approuvés
- Validation de la clé publique du tenant à chaque requête API (403 en cas de non-correspondance)
- Résidence des données dans l'UE (Francfort) avec conformité RGPD et DPA disponible
- Aucune donnée personnelle requise—l'enregistreur capture uniquement les sélecteurs CSS et le texte du guide
- SDK TypeScript vanilla de 10 KB, sans eval(), sans dépendances tierces
Ce que vous contrôlez
- Interrupteur d'urgence instantané : désactivez les guides ou changez les clés publiques depuis le tableau de bord
- Verrouillage de version : fixez le SDK à une version spécifique avec vérification du hash SRI
- Application CSP : restreignez script-src et connect-src aux domaines Stepsy uniquement
- Surveillance réseau : le SDK contacte uniquement cdn.stepsy.cc et api.stepsy.cc
Politique CSP recommandée (à implémenter par vous)
Content-Security-Policy:
script-src 'self' https://cdn.stepsy.cc;
connect-src 'self' https://api.stepsy.cc;