Sécurité.

• HTTPS / TLS 1.2+ obligatoire pour toutes les requêtes entre l'application, le site web et nos serveurs.
• Mots de passe chiffrés (hash + salt) via les standards Supabase Auth (PBKDF2 / bcrypt selon le profil).
• Données au repos chiffrées au niveau du stockage Supabase (Postgres + S3 pour les médias).
• Les sessions sont signées et expirent automatiquement après une période d'inactivité.

Chaque rôle (client, restaurant, coursier, support, administrateur) ne voit que ce dont il a besoin. L'isolation est enforcée par des règles Row-Level Security (RLS) appliquées directement au niveau de la base de données — pas seulement dans le code applicatif.

• Un coursier ne voit que les commandes qui lui sont assignées, pas le menu en ligne d'un client.
• Un restaurant ne voit que ses propres commandes et reversements.
• Un client ne voit que son propre historique de commandes, ses adresses et ses préférences.
• Les accès administrateurs sont journalisés et limités aux personnes désignées.

FORLIK ne stocke jamais les numéros complets de carte bancaire, ni les codes CVV. L'intégralité du flux carte est délégué à notre prestataire de paiement YouCan Pay, agréé pour opérer au Maroc.

• Authentification 3-D Secure activée le cas échéant.
• Modèle « payer d'abord, commander ensuite » : la commande n'est créée qu'après confirmation du paiement.
• Nous conservons uniquement l'identifiant de transaction et son statut, pour réconciliation comptable et lutte contre la fraude.

L'activation du GPS requiert votre consentement explicite au niveau du système d'exploitation. Vous pouvez le révoquer à tout moment depuis les réglages de votre appareil.

• Tous les accès aux endpoints sensibles (paiements, données personnelles, opérations administratives) sont journalisés avec horodatage et identifiant d'utilisateur.
• Les journaux techniques sont conservés 6 à 12 mois puis supprimés.
• Des alertes automatiques détectent les comportements anormaux (tentatives répétées d'accès, patterns de fraude).
• Le code de pickup, la signature de transition de commande et l'identité du coursier sont vérifiés à chaque étape de la livraison.

En cas d'incident de sécurité, notre procédure de réponse comprend :

• Confinement immédiat (révocation des sessions concernées, blocage des accès affectés).
• Évaluation de l'impact et des données potentiellement exposées.
• Notification de la CNDP et, le cas échéant, des personnes concernées dans un délai maximum de 72 heures sous RGPD.
• Audit post-incident et publication d'un retour d'expérience interne.

Nos principaux sous-traitants techniques et leur rôle :

Chaque sous-traitant est lié par un accord de traitement (DPA) et ne traite vos données que selon nos instructions et pour les finalités strictement nécessaires.

La sécurité est une responsabilité partagée. De votre côté :

• Choisissez un mot de passe unique et fort (au moins 12 caractères, mélange de lettres, chiffres et symboles).
• Ne partagez jamais vos identifiants. FORLIK ne vous demandera jamais votre mot de passe par téléphone, email ou WhatsApp.
• Vérifiez que vous êtes bien sur https://www.forlik.com avant de saisir vos informations.
• Déconnectez-vous depuis un appareil partagé après usage.
• Signalez immédiatement toute activité suspecte à security@forlik.com.

• Divulgation responsable : security@forlik.com
• Protection des données : privacy@forlik.com
• Support général : contact@forlik.com