Sécurité & conformité
Authentification
Section intitulée « Authentification »Clé API en Authorization: Bearer <clé>, sans cookie de session. Une clé est
révocable à tout moment et hérite du rôle courant de son membre. Voir
Authentification.
Permissions par rôle
Section intitulée « Permissions par rôle »Les permissions des tools dérivent du rôle du membre dans l’organisation :
| Rôle | Factures | Clients |
|---|---|---|
admin | lecture, création, envoi | lecture, création |
commercial | lecture, création, envoi | lecture, création |
comptable | lecture seule | lecture seule |
consultation | lecture seule | lecture seule |
Actions irréversibles
Section intitulée « Actions irréversibles »send_invoice et remind_invoice déclenchent des actions irréversibles. Le
serveur MCP instruit explicitement l’assistant de demander une confirmation
explicite de l’utilisateur avant de les appeler. create_invoice ne crée
qu’un brouillon (réversible).
whoami renvoie le quota mensuel de factures (used / limit / remaining).
Le dépassement renvoie une erreur métier explicite (voir
Référence API).
Phase beta (sandbox)
Section intitulée « Phase beta (sandbox) »En phase beta, l’envoi de factures peut être désactivé (compte e-invoicing partagé en sandbox). Les tools renvoient alors un message indiquant que l’envoi est disponible avec votre propre compte e-invoicing.
Conformité
Section intitulée « Conformité »- Facturation électronique conforme (France), via une plateforme agréée DGFiP.
- Hébergement en France.
- Données traitées dans le respect du RGPD.
Bonnes pratiques d’intégration
Section intitulée « Bonnes pratiques d’intégration »- Une clé par client IA ; rotation régulière.
- Ne pas exposer la clé dans des logs ou un dépôt.
- Confirmer systématiquement les actions d’envoi auprès de l’utilisateur final.