Sécurité

Notre engagement pour la protection de vos données et transactions

🛡️ PCI-DSS Level 1 🔒 ISO 27001 ✅ 3D Secure 2.0 🔐 SSL 256-bit

Notre approche de la sécurité

Chez ONIPAY, la sécurité est notre priorité absolue. Nous investissons massivement dans les technologies et processus les plus avancés pour protéger vos données, vos transactions et votre activité commerciale.

Certifications et conformité

  • PCI-DSS Level 1 : Le plus haut niveau de certification de sécurité pour les processeurs de paiement. Audité annuellement par un QSA (Qualified Security Assessor) agréé.
  • ISO 27001 : Certification internationale pour les systèmes de management de la sécurité de l'information.
  • FCA Regulated : Autorisé et régulé par la Financial Conduct Authority (UK).
  • SOC 2 Type II : Audit indépendant de nos contrôles de sécurité, disponibilité et confidentialité.
  • GDPR & UK DPA 2018 : Pleine conformité avec les réglementations européennes et britanniques sur la protection des données.

Chiffrement des données

  • En transit : TLS 1.3 pour toutes les communications. Tous les échanges entre votre système et ONIPAY sont chiffrés avec SSL 256-bit.
  • Au repos : Chiffrement AES-256 pour toutes les données stockées. Les données sensibles sont tokenisées et jamais stockées en clair.
  • Clés de chiffrement : Gestion sécurisée via AWS KMS (Key Management Service) avec rotation automatique.
  • Données bancaires : Jamais stockées sur nos serveurs. Utilisation de tokens sécurisés fournis par nos partenaires bancaires.

Infrastructure et hébergement

  • Cloud AWS : Infrastructure hébergée sur Amazon Web Services (région eu-west-2 - London).
  • Haute disponibilité : Architecture multi-zone avec basculement automatique. SLA de 99.95% de disponibilité.
  • Sauvegardes : Sauvegardes automatiques quotidiennes avec rétention de 30 jours. Réplication géographique pour la redondance.
  • DDoS Protection : Protection contre les attaques DDoS via AWS Shield et CloudFlare.
  • Firewall WAF : Web Application Firewall configuré pour bloquer les menaces connues.

Sécurité applicative

  • Authentification : Authentification multi-facteurs (2FA/MFA) obligatoire pour tous les comptes.
  • Gestion des accès : Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège.
  • Sessions sécurisées : Tokens JWT avec expiration automatique. Sessions révoquées après 30 minutes d'inactivité.
  • Logs d'audit : Tous les accès et actions sont journalisés et conservés pendant 7 ans.
  • API sécurisées : Authentification par clés API avec rotation régulière. Rate limiting pour prévenir les abus.

Prévention de la fraude

  • IA & Machine Learning : Analyse en temps réel de chaque transaction avec modèles d'apprentissage automatique.
  • 3D Secure 2.0 : Authentification forte du client (SCA) conforme à la DSP2.
  • Scoring de risque : Évaluation dynamique du risque basée sur 200+ paramètres.
  • Vérification d'identité : KYC/KYB renforcé avec vérification de documents et biométrie.
  • Listes de surveillance : Vérification automatique contre les listes de sanctions internationales (OFAC, UN, EU).
  • Géolocalisation IP : Détection des VPN/proxies et des connexions suspectes.
  • Device fingerprinting : Identification des appareils pour détecter les comportements anormaux.

Tests de sécurité

  • Tests de pénétration : Audits trimestriels réalisés par des experts en cybersécurité externes.
  • Bug bounty : Programme de prime aux bugs pour identifier et corriger les vulnérabilités.
  • Scans de vulnérabilités : Analyses automatisées quotidiennes de notre infrastructure.
  • Code review : Revue systématique du code par des pairs avant déploiement.
  • CI/CD sécurisé : Pipeline de déploiement avec tests de sécurité automatisés (SAST/DAST).

Sécurité organisationnelle

  • Formation du personnel : Formation continue sur la cybersécurité et la protection des données.
  • Background checks : Vérification des antécédents pour tous les employés.
  • Accès limité : Séparation stricte des environnements (dev/staging/prod). Accès production limité et tracé.
  • Plan de réponse aux incidents : Procédures documentées pour réagir rapidement à tout incident de sécurité.
  • Assurance cyber : Couverture d'assurance de 10M€ contre les cyberattaques et violations de données.

Transparence et communication

  • Notifications d'incidents : Engagement à notifier toute violation de données dans les 24 heures.
  • Status page : Page publique de statut des systèmes (status.onipay.com).
  • Audits externes : Rapports d'audit disponibles sur demande (sous NDA).
  • Security advisories : Publication proactive des avis de sécurité pertinents.

Vos responsabilités

La sécurité est un effort partagé. Nous vous recommandons de :

  • Utiliser des mots de passe forts et uniques (12+ caractères, mélangeant lettres, chiffres, symboles)
  • Activer l'authentification à deux facteurs (2FA) sur votre compte
  • Ne jamais partager vos identifiants ou clés API
  • Maintenir vos systèmes à jour avec les derniers correctifs de sécurité
  • Surveiller régulièrement l'activité de votre compte
  • Signaler immédiatement toute activité suspecte à security@onipay.com
  • Former vos équipes aux bonnes pratiques de sécurité

Signalement de vulnérabilités

Si vous découvrez une vulnérabilité de sécurité dans nos systèmes, veuillez nous la signaler de manière responsable :

  • Email : security@onipay.com
  • PGP Key : Disponible sur notre page de sécurité
  • Délai de réponse : Nous nous engageons à répondre dans les 48 heures
  • Bug bounty : Récompenses jusqu'à 10,000€ pour les vulnérabilités critiques

Nous ne poursuivrons jamais en justice les chercheurs en sécurité agissant de bonne foi.

Contact sécurité

Pour toute question concernant la sécurité :

  • Email sécurité : security@onipay.com
  • CISO : ciso@onipay.com
  • Urgence 24/7 : +44 20 3808 9999