Documentation

Connect your marketing data to Claude, ChatGPT and other LLMs.

Sécurité — Meta Ads

Stockage des tokens

  • Tokens OAuth (Google / Meta) chiffrés au repos en AES-256-CBC via Laravel Encrypter
  • Clé de chiffrement = APP_KEY (jamais loggée, jamais commitée, jamais exposée dans les réponses)
  • Aucune sauvegarde DB tierce ne contient de tokens en clair
  • Suppression de compte = suppression cascade des tokens (RGPD)

Authentification MCP — OAuth 2.1

  • OAuth 2.1 + PKCE (S256) standard sur tous les flows
  • Dynamic Client Registration (RFC 7591) — chaque session Claude génère un client_id éphémère, pas de pré-enregistrement côté gadspilot
  • Resource Indicators (RFC 8707) — Claude doit déclarer la ressource MCP cible dans la requête authorize
  • Access tokens : validité 30 jours, hashés (SHA-256) en DB
  • Tokens révocables instantanément via /profile ou via les permissions Google Account

Toggles de sécurité par compte

Chaque compte connecté a ses propres flags :

  • Write enabled (ON par défaut) : si OFF, tous les tools write retournent une erreur immédiatement, même hors dry-run
  • Dry-run default (ON par défaut) : si ON, chaque tool write s'exécute en dry-run sauf passage explicite de dry_run=false

Journal d'audit

  • Toutes les tentatives write (réelles ET dry-run) sont logguées dans la table mcp_write_logs
  • Chaque entrée : nom du tool, params (JSON), timestamp, flag dry_run, résultat (succès/erreur + corps)
  • Visible par l'utilisateur via /logs

Limites de débit

EndpointLimite
Requêtes MCP par token60 / minute
Endpoint OAuth token30 / minute par IP
AI analysis Insights internes30 / jour par utilisateur
Rapports email10 / jour par utilisateur

Hébergement & infrastructure

  • VPS LWS.fr (France) sous ISPConfig
  • Apache + PHP-FPM 8.4, certificats Let's Encrypt auto-renouvelés
  • HTTPS-only avec HSTS
  • Datacenter certifié ISO 27001
  • Aucune donnée transférée hors UE sauf appels aux API Google/Meta (requis) et OpenRouter pour l'AI analysis optionnelle

Données envoyées à OpenRouter (AI analysis optionnelle)

L'AI analysis in-app dans les pages Insights (le bouton ✨) envoie des KPI agrégés à un modèle Claude d'Anthropic via OpenRouter. Consentement granulaire par compte requis, journal d'audit RGPD complet, aucun envoi automatique.

L'analyse côté MCP (Claude lui-même) ne passe pas par OpenRouter — c'est votre client IA en direct.

Suppression de compte

  • Self-service depuis /profile — tapez « DELETE » pour confirmer
  • Cascade immédiate : tokens OAuth, tokens MCP, journaux d'audit, notes, ai_consent_logs supprimés
  • Export de données disponible sur demande à contact@gadspilot.com

Vulnérabilités

Reporting via /.well-known/security.txt (RFC 9116) ou ceo@lws.fr. SLA : ack sous 48h, fix selon sévérité.

Détails complets : Politique de confidentialité · CGU

Besoin d'aide ? Demandez à Léa 💬
gadspilot assistant
Léa
Assistante IA · gadspilot
Besoin d'un humain ? Contacter le support