Confidentialité architecturale, pas une promesse de confidentialité.

La vérification de 30 secondes

1. Ouvrez l'outil Edit PDF de Vastiko.
2. Ouvrez les DevTools de votre navigateur (F12 ou clic droit → Inspecter).
3. Passez à l'onglet Network. Cochez 'Preserve log'.
4. Déposez un PDF sur la zone de drop.
5. Observez le panneau Network. Il n'y a pas de POST upload, pas de PUT, pas de WebSocket portant votre fichier. Les seules requêtes sont des récupérations d'assets statiques (HTML, CSS, JS) et (si activé) des pings anonymes d'analyse.

Il en va de même pour chaque outil Vastiko. Vous pouvez vérifier vous-même la revendication de confidentialité — vous n'avez pas à nous croire sur parole.

Comment chaque outil reste local

Cryptographie (Unlock PDF / Protect PDF)

Les opérations protégées par mot de passe s'exécutent entièrement dans votre navigateur :

• Module WebAssembly (qpdf-wasm) analyse le gestionnaire de sécurité PDF et applique AES-256 R5, AES-128 et RC4 (40/128-bit) — couvrant la spécification complète du gestionnaire de sécurité PDF.
• Pas de transmission au serveur : votre mot de passe ne nous est jamais envoyé. Il existe en mémoire du navigateur uniquement pendant la durée de l'opération, puis est supprimé.
• Chargement différé : le module WASM n'est récupéré que lorsque vous visitez Unlock PDF ou Protect PDF, gardant le reste du site léger.

Vous pouvez le vérifier de la même manière qu'avec les autres outils : ouvrez DevTools → Network, déposez votre PDF chiffré et confirmez qu'il n'y a aucun téléchargement — uniquement le téléchargement du module WASM.

Ce que les attaquants ne peuvent pas faire

Comme les données de fichiers n'atteignent jamais nos serveurs :

• Une violation de notre fournisseur d'hébergement ne peut pas exposer vos fichiers. Il n'y a pas de stockage de fichiers à violer.
• Une assignation à comparaître ne peut pas nous contraindre à remettre vos fichiers. Nous ne les avons pas et ne les avons jamais eus.
• Un acteur malveillant ne peut pas exfiltrer du contenu utilisateur de chez nous. Les données sont sur votre machine, pas sur la nôtre.

Obfuscation du code et transparence

Le bundle JavaScript est minifié et obfusqué. C'est un choix délibéré pour protéger la propriété intellectuelle de Vastiko — pour rendre plus difficile aux clones de copier notre travail — et cela ne compromet pas la garantie de confidentialité. La confidentialité est vérifiable depuis le comportement à l'exécution, pas depuis le code source : ouvrez DevTools → Network et confirmez qu'aucun téléchargement de fichier ne se produit. L'architecture (tout dans votre navigateur) est ce qui rend Vastiko privé ; l'obfuscation ne fait que protéger ce que nous avons construit.

Si vous repérez un problème de sécurité ou un comportement qui contredit ces affirmations, signalez-le à info [arobase] vastiko [point] com. Nous traitons ces rapports en priorité.

Infrastructure d'hébergement

Le site est livré comme HTML, CSS et JavaScript statiques depuis un serveur web hébergé dans le cloud. Il n'y a pas de backend d'application, pas de base de données utilisateurs et pas de pipeline de traitement de fichiers côté serveur. La garantie de confidentialité vient de l'architecture, pas d'un fournisseur ou d'une région spécifique — vos fichiers n'atteindraient pas nos serveurs quel que soit l'emplacement de ces serveurs.

Signaler des vulnérabilités

Nous sommes une petite équipe et n'avons pas encore de programme bug bounty formel, mais nous apprécions la divulgation responsable. Envoyez un e-mail à info [arobase] vastiko [point] com avec les étapes de reproduction. Nous visons à accuser réception sous 48 heures et à vous créditer publiquement si vous le souhaitez.

Périmètre de conformité

Comme nous ne traitons pas de données personnelles liées à des utilisateurs identifiables sur le serveur, notre exposition au RGPD et au CCPA est minimale — mais les garanties de confidentialité que nous offrons sont plus fortes que ce que la conformité exige. Voir la politique de confidentialité pour les détails.