| Édition et runtime | EDITION, NODE_ENV, PORT. self_hosted exige une licence entreprise. |
| Infrastructure cœur | PLATFORM_DATABASE_URL, TENANT_DATABASE_URL, REDIS_URL. Les bases restent séparées. |
| Auth et intégrité | JWT_ACCESS_SECRET, JWT_REFRESH_SECRET, API_HMAC_SECRET, MFA_SECRET_KEY. |
| URL publiques et CORS | API_PUBLIC_URL, WEB_PUBLIC_URL, DEALS_PUBLIC_URL, CONSOLE_PUBLIC_URL, CORS_ALLOWED_ORIGINS. |
| Stockage et scan | OSS_*, FILE_SCAN_MODE, FILE_SCAN_ENDPOINT, FILE_DOWNLOAD_REQUIRES_CLEAN_SCAN. |
| OCR, IA, SSO, e-mail | Configurer selon les besoins OCR, passerelle IA, fournisseurs SSO et envoi e-mail. |