// docs / quotas & limits
Quotas et limites
Chaque valeur de quota et de limite de débit ci-dessous vient du module d'entitlements au moment du build ; cette page ne peut donc pas diverger de ce que le serveur applique réellement.
Droits par offre
| Gratuit | Loisir | Pro | Illimité | |
|---|---|---|---|---|
| Scans / mois | 3 | 50 | 200 | Plan Unlimited¹ |
| Projets (domaines vérifiés) | 1 | 1 | 5 | 20 |
| Tokens API | 0 | 1 | 5 | 20 |
| Owner-depth scans | non | oui | oui | oui |
| Scans de dépôts GitHub | non | non | oui | oui |
| Re-scans planifiés | non | non | cadence ≥3 h | cadence ≥1 h |
| Détection de menaces en direct | non | non | non | oui |
| Rétention | 7 jours | 30 jours | 90 jours | 365 jours |
| Sièges d'équipe | 1 | 1 | 1 | 5 |
| Support | standard | standard | prioritaire | dédié |
¹ Le quota de scans du plan Unlimited est soumis à un usage raisonnable — voir les Conditions. ² La limite par défaut est de 20 domaines en surveillance active à une cadence ≥1h. Contacte support@fixweb.app pour l'augmenter en échange d'une cadence programmée plus longue.
Limites de débit API
Chaque requête /api/v1/* et /api/mcp est indexée sur un hash du bearer token et passe par deux fenêtres :
- Rafale : 10 requêtes par seconde.
- Stable : 60 requêtes par minute.
Sur 429, la réponse inclut :
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}La fenêtre qui a déclenché la limite est nommée dans le message (burst (10/s) vs steady (60/min)) afin que le backoff d'un client puisse s'adapter.
Limite de débit des scans du plan Free (par IP/24)
En plus du plafond de 3 scans par mois par organisation, les utilisateurs du plan Free font face à une limite supplémentaire par IP/24 : 3 scans par heure, 100 par jour. Le même limiteur couvre les scans instantanés anonymes, ce qui empêche d'exploiter le quota Free via des comptes jetables. Les requêtes dépassant l'une ou l'autre limite renvoient HTTP 429 Too Many Requests avec un en-tête Retry-After.
Throttle d'inscription (par IP/24)
5 inscriptions réussies par IP/24 toutes les 24 heures, pour empêcher la création automatisée de comptes du plan Free. Les rappels limités redirigent vers /sign-in?error=rate_limited.
Rétention
Les scans + constats sont purgés automatiquement selon le tableau ci-dessus. Les scans anonymes ponctuels expirent 24 h après leur création. Les journaux d'audit sont conservés 18 mois. Les snapshots de monitor sont réduits aux 7 derniers jours plus la baseline la plus récente par (domaine, signal). Les alertes ignorées sont purgées après 90 jours. Toute la rétention est appliquée quotidiennement par /api/cron/retention-cleanup.