Sécurité
EasyTransac et la sécurité
La sécurité des données est essentielle pour Easytransac : Infrastructures adaptées, back office sécurisé, audits externes, … découvrez nos solutions sécurisées
Infrastructure
Les serveurs EasyTransac sont hébergés chez OVH.
Ces derniers sont intégrés dans un environnement certifié PCI-DSS.
Des tests d’intrusion sont réalisés trimestriellement par un scanner de vulnérabilité (Nessus).
L’infrastructure d’EasyTransac est conçue de manière à être isolée (DMZ). L’accès à nos systèmes passe par une ACL réseau étendue (Access Control List).
Chaque accès à nos services est contrôlé, consigné et peut être consulté. Un monitoring complet sur les actions réalisées par les utilisateurs est également disponible.
Back-Office sécurisé
Le Back-Office d’Easytransac utilise un FrameWork avec une surcouche sécuritaire développée en interne.
EasyTransac filtre les adresses IP des sites accédant aux API.
Les accès Administrateurs et Modérateurs ne sont possibles que depuis les locaux EasyTransac.
La connexion à EasyTransac se fait par le protocole HTTPS TLS 1.2. Transport Layer Security ou Sécurité de la couche de transport, est un protocole de sécurisation des échanges sur Internet.
L ’équipe en charge de la sécurité d’EasyTransac est extrêmement attentive à lutter contre les failles Web (XSS, CSRF, injection SQL…). La connexion à EasyTransac est réalisée par clavier virtuel pour prévenir tout espionnage sur la machine du client.
Easytransac conserve un historique complet des logs de connexion.
Easytransac envoie un e-mail d’alerte en cas de nouvelle connexion sur un appareil non enregistré.
Applications mobiles
Le fonctionnement d’EasyTransac a été pensé de manière à ce qu’aucune donnée sensible ne soit stockée sur le téléphone.
Le périphérique n’est qu’un support de transmission et non un support de stockage. Ce qui renforce considérablement la sécurité de l’application.
Chaque accès à EasyTransac est contrôlé par un jeton d’authentification (token) qui dispose d’une date de validité prédéfinie. Ainsi nous contrôlons régulièrement l’accès à nos services par une demande de connexion complète. Par ailleurs chaque jeton d’authentification est révocable à tout instant par nos équipes.
Pour une sécurité accrue, nous produisons une signature d’authenticité unique à chaque communication avec nos services. Cette signature est vérifiée par nos serveurs et par l’application pour garantir l’intégrité et l’authenticité des données.
EasyTransac a développé un algorithme permettant de forcer l’utilisation du 3D Secure dans certaines conditions, en fonction de l’utilisateur, du montant, de l’origine de la carte et d’autres facteurs… Cet usage permet de réduire considérablement les risques de fraudes pour les commerçants ainsi que pour leurs clients.
Distribution officielleLes applications EasyTransac iOS & Android sont distribuées uniquement via les stores officiels (App Store & Play Store) empêchant ainsi aux utilisateurs d’utiliser des versions altérées ou pirates d’EasyTransac.
Audits externes
Les serveurs PCI-DSS d’EasyTransac sont testés tous les 3 mois par l’organisme indépendant Security Metrics :
- Scan réalisé par un prestataire approuvé
- CVSS* Level 1 maximum
- Lien externe permettant de contrôler la certification
- Attestation de conformité
- Réalisation d’une autoévaluation
*Common Vulnerability Scoring System (CVSS) est un système d’évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables. Cette évaluation est constituée de 3 mesures appelées métriques: la métrique de base, la métrique temporelle et la métrique environnementale.
- Tests de vulnérabilité logiciel réalisé en janvier 2017 par Synopsys (ex-Cigital inc.) :
- Test réalisé en Black-box (test réel)
- Remise d’un rapport de vulnérabilité
- Correction des failles par les équipes EasyTransac
- Contrôle de la correction des failles validée par Synopsys
Catégories d'aide associées
Si vous n'avez pas trouvé votre réponse ici, vous pouvez consulter ces thèmes associés.