Cadre de sécurité de Paystack

Modifié

Standards réglementaires et conformité

Paystack intègre les meilleures pratiques standard pour maintenir un haut niveau de sécurité.

Conformité PCI

En tant que plateforme de paiement leader servant une diversité d'entreprises, nous avons la responsabilité de protéger les données de paiement que nos commerçants nous confient.

À cet effet, Paystack s'assure que ses systèmes respectent le niveau de certification le plus strict de l'industrie des paiements. Paystack a été audité par un auditeur certifié PCI et est certifié Fournisseur de services PCI de niveau 1.

Nous éduquons nos utilisateurs, entreprises et clients sur la conformité. Cependant, si vous souhaitez en savoir plus sur ce sujet, voici un excellent guide que nous vous recommandons. Il vous aidera à mieux comprendre la conformité et comment Paystack peut vous accompagner.

Sécurité de l'information et protection des données

Paystack est certifié ISO 27001 dans tous les pays où nous opérons. ISO/IEC 27001:2022 est la norme internationale de référence pour les Systèmes de Gestion de la Sécurité de l'Information (ISMS). Elle adopte une approche basée sur les risques en matière de sécurité de l'information à travers les personnes, les processus et la technologie.

Grâce à cette certification, nous garantissons la confidentialité, l'intégrité et la disponibilité des actifs informationnels et des données stockées.

Pour assurer la protection des données personnelles et le respect du droit à la vie privée, le programme de confidentialité de Paystack est aligné sur ISO/IEC 27701:2019. Nous sommes également conformes aux réglementations NDPR, NDPA, POPIA et PAIA. En outre, nous détenons les licences de Responsable du traitement des données et de Sous-traitant des données au Kenya et sommes enregistrés auprès de la Commission de protection des données du Ghana.

Conformité en continuité des affaires

Paystack est aligné sur la norme ISO/IEC 22301:2019, la référence internationale en matière de sécurité, résilience et gestion de la continuité des affaires.

Notre alignement sur cette norme renforce la capacité de l'entreprise à maintenir ses fonctions essentielles pendant et après un incident majeur.

Le Système de Gestion de la Continuité des Affaires de Paystack suit une approche structurée pour garantir la récupération après des incidents de différentes gravités. Ce programme est audité chaque année par un organisme indépendant et jugé conforme aux exigences de l'ISO 22301.

Comment Paystack conçoit la sécurité des produits

Chiffrement des données sensibles et des communications

Paystack utilise une application interne appelée Vault pour chiffrer, stocker et transmettre les données des titulaires de carte.

Le Vault chiffre les données des titulaires de carte à l’aide d’une clé RSA 2048 avec un chiffrement 3DES 112 bits avant de les stocker dans sa base de données. Ce Vault de Paystack héberge sa base de données sur la plateforme Amazon Web Services (AWS) Relational Database Service (RDS). AWS RDS utilise l’algorithme de chiffrement standard du secteur AES-256 pour le chiffrement de toutes les données au repos dans la base de données.

Programme de divulgation de la vulnérabilité et de la récompense

En soumettant un bug de sécurité ou une vulnérabilité à Paystack via HackerOne, vous reconnaissez avoir lu et accepté les termes et conditions du programme.

Veuillez consulter notre politique sur HackerOne pour plus d’informations sur la manière de participer à notre programme de récompense des bugs.

HTTPS et HSTS pour des connexions sécurisées

Nous imposons l’utilisation de HTTPS pour tous les services utilisant TLS (SSL), y compris notre site web public et le Tableau de bord Paystack.

Nous auditons régulièrement les détails de notre implémentation, y compris les certificats que nous délivrons, les autorités de certification que nous utilisons, et les chiffrements que nous prenons en charge. Nous utilisons HSTS pour garantir que les navigateurs n’interagissent avec Paystack que via HTTPS. Paystack figure également sur les listes préchargées HSTS de tous les principaux navigateurs modernes.

Toutes les communications serveur à serveur sont chiffrées en utilisant Transport Layer Security mutuel (mTLS). Les systèmes de Paystack bloquent automatiquement les requêtes effectuées avec des versions plus anciennes et moins sécurisées de TLS, exigeant l’utilisation d’au moins TLS 1.2.

Résumé de la politique de sécurité de l'information de Paystack

La politique de sécurité de l'information de Paystack définit la responsabilité des employés, du personnel externalisé et des fournisseurs pour garantir la sécurité du réseau de Paystack.

Elle fournit des directives sur des thèmes clés de la sécurité de l'information, notamment l'organisation des bureaux et écrans, l'équipement utilisateur laissé sans surveillance, l'utilisation des supports amovibles, la gestion des mots de passe et la participation à la formation de sensibilisation à la sécurité.

L'objectif de cette politique est d’établir les principes fondamentaux qui structurent les processus de sécurité des données et de l'infrastructure technologique de Paystack. Tous les employés, travailleurs temporaires, fournisseurs et toute autre partie ayant accès aux informations (données personnelles et d'entreprise) sont soumis à cette politique.

N’hésitez pas à nous contacter par email à support@paystack.com ou via notre formulaire de contact si vous avez des questions.