PD-253 — Dossier de conformité (Étape 8)¶
Type de gate : UNKNOWN¶
1. Documents de référence¶
- PD-253-besoin — présent
- PD-253-specification — présent
- PD-253-tests — présent
- PD-253-specification-review — présent
- PD-253-plan — présent
- PD-253-plan-review — présent
- PD-253-code-contracts — absent
- PD-253-acceptability — présent
- PD-253-acceptability-review — présent
- PD-253-rex — absent
- PD-253-decomposition — présent
2. Rapport de confrontation¶
Voir : PD-253-confrontation-step8.md
3. Hypothèses déclarées¶
| ID | Hypothèse | Impact si fausse |
|---|---|---|
| H-253-01 | Les modules amont (PD-282, PD-39, PD-37) fournissent des ProofEnvelopes contractuellement valides et complètes. | Exports échouent en FAILED avec PROOF_ENVELOPE_INCOMPLETE. Acceptable : détection asynchrone contractualisée. |
| H-253-02 | Le stockage staging S3/OVH supporte des objets jusqu'à 100 GB par export. | Limite à revoir ; risque non-conformité volumétrique sur gros coffres. |
| H-253-03 | Le mécanisme S3 de présignature supporte TTL configurable entre 1h et 72h. | Vérifier la limite OVH Object Storage sur les URLs signées. |
| H-253-04 | Les métriques P95 sont disponibles en environnement de référence instrumenté. | CA-253-12 non vérifiable. Accepté : item de monitoring Sprint. |
| H-253-05 | Le mapping des statuts de destruction légale (PD-250) est accessible via une requête DB depuis le module bulk-export. | Risque d'inclusion/exclusion incorrecte. Requête directe sur destruction_bordereaux via schema vault_secure. |
| H-253-06 | La signature HSM peut être indisponible sans bloquer la réversibilité. | Seul niveau standard disponible. Acceptable : INV-253-06. |
| H-253-07 | La rétention uniforme post-téléchargement (indépendante du statut DOWNLOADED) est acceptable pour PD-253. | Une purge anticipée sur confirmation pourra être ajoutée dans une story ultérieure. |
| H-253-08 | La sélection du périmètre est effectuée au démarrage du worker (moment ASSEMBLING), pas au moment REQUESTED. | Un document créé dans la fenêtre REQUESTED → ASSEMBLING n'est pas inclus. Acceptable : fenêtre de quelques secondes. |
| H-253-09 | La copie content.enc depuis S3 vers le répertoire temp est incluse dans le package BagIt (export contient le binaire chiffré). | Alternative : package contient uniquement les métadonnées et preuves (sans le binaire). Décision retenue : inclusion du binaire chiffré pour réversibilité NF Z42-013 §13.1 (auto-porteur). |
| H-253-10 | Les fichiers temporaires /tmp/bulk-export-{exportId}/ ne contiennent aucun secret cryptographique (PD-253 est Zero-Knowledge côté serveur : les données manipulées sont content.enc déjà chiffré, et des hashes non-réversibles). Le chiffrement au repos pour INV-253-11 est fourni par le chiffrement disque hôte (disk encryption du serveur). | Si le serveur hôte n'a pas de chiffrement disque, INV-253-11 est dégradé. À documenter dans le runbook opérationnel. |
| H-253-11 | L'upload du package BagIt vers S3/OVH staging utilise le multipart upload (@aws-sdk/lib-storage Upload) pour les packages > 5GB. S3Service.uploadFile() est un stub (TODO) et devra être étendu par CC-253-07 (BagItAssemblerService) pour déléguer l'upload multipart. La limite PutObjectCommand = 5GB (S3 spec) ; packages jusqu'à 100GB requièrent obligatoirement multipart. | Si S3Service n'est pas étendu, les packages > 5GB échouent avec EntityTooLarge. Criticité : MAJEUR (bloque les exports de gros coffres). |
4. Verdict attendu¶
- GO — conformité vérifiée
- RESERVE — conformité partielle, conditions à satisfaire
- NON_CONFORME — écarts bloquants identifiés
- ESCALADE — décision humaine requise