Politique de sécurité
Chez PayLead nous sommes pleinement conscients de l’importance vos données. C’est pourquoi nous nous engageons au quotidien à développer les meilleurs systèmes de sécurité possibles.
Nous partageons tous, au sein de notre équipe, la conviction que la transparence est essentielle dans la construction d’une relation de confiance, c’est la raison pour laquelle il est important pour nous que vous compreniez le soin que nous portons à la protection de vos données.
Ainsi nous vous invitons à lire attentivement cette charte, et à prendre connaissance de notre exigence en matière de sécurité et de protection.
Par ailleurs, nous savons pertinemment que la lecture de ces documents est généralement longue et fastidieuse. C’est pour cela que nous nous sommes attachés à rédiger pour vous un contenu court, simple, mettant en avant les informations qu’il est nécessaire pour vous de connaître.
Notre communication concernant la sécurité a vocation à être totalement transparente et nous nous efforçons de la rendre accessible et compréhensible de tous.
La protection de vos données
Afin d’assurer la protection de vos données, nous mettons en oeuvre différents mécanismes de protection. Parmi ces protections, nous pouvons noter :
Des réseaux privés et isolés pour nos infrastructures de back-end
Nous n’exposons que le strict minimum sur Internet : nos connecteurs d’API. Tous les services sur lesquels l’API repose sont isolés du reste du monde et ne sont pas accessibles directement sur Internet. Ceci permet de réduire et de limiter considérablement la surface d’attaque.
L’utilisation de pare-feu sur l’ensemble de nos serveurs
Afin d’assurer un niveau de protection optimal, chaque serveur limite les accès à ses services. Nous avons mis en place des restrictions de port mais également un mécanisme de whitelist reposant sur l’adresse IP ou des ensembles de machines (aka groupe de sécurité) pour le filtrage. Cette spécificité est également mise en place sur nos réseaux isolés afin d’éviter tout risque de propagation latérale en cas de compromission d’un serveur.
En complément, et sur les environnements qui nous le permettent, nous ajoutons des équipements intermédiaires de filtrage entre chaque serveurs afin d’appliquer le principe de défense en profondeur.
Un monitoring constant de l’état de nos machines
L’état d’utilisation de nos machines et de nos services sont surveillés, ainsi en cas d’activité suspecte nous avons la capacité de le détecter immédiatement et de réagir.
Une politique stricte de “Zero trust network”
Nous partons du principe que la couche réseau ne doit pas être considérée comme sûre quelque soit l’endroit où elle se trouve.
Ainsi, le réseau de nos locaux ne bénéficie pas de dérogations particulières dans les règles de pare-feux. Seul un sous-ensemble de machines est autorisé à servir de machine “de rebond” afin de nous permettre d’administrer nos serveurs. Ces machines font également l’objet d’une surveillance.
Mais la sécurité des communications passe aussi par les méthodes utilisées pour communiquer avec nos machines, par défaut, nous n’utilisons et n’autorisons que les communications qui utilisent des connexions sécurisées. En supplément, nous avons configuré nos serveurs afin qu’ils n’utilisent que des mécanismes de chiffrement récents, robustes et sécurisés.
Des audits et des accès facilités aux données en cas de nécessité
Nous avons configuré nos services de manière à ce que leurs journaux d’activité soient remontés dans un “puits de log”, cet équipement est en charge d'agréger l’ensemble des journaux de nos machines et d'assurer qu’en cas d’incidents, les éléments les plus importants seront disponibles et rapidement accessibles.
L’accès à des données de production n’est réservé qu’à un nombre limité de personnes identifiées et sur validation des équipes de sécurité après vérification de la motivation de cet accès.
Tous les accès aux données et aux serveurs contenant les données sont, de fait, journalisés et conservés.
Une formation régulière de nos équipes
Parce que le maillon faible de la sécurité sera toujours principalement le facteur humain, nous sensibilisons tout nouvel arrivant à la sécurité au moyen d’une formation, et faisons un rappel annuel. Le programme de formation couvre à la fois les bonnes pratiques de bases ainsi que le codage sécurisé pour le département Engineering.
La protection en continu
Afin d’assurer la protection de nos infrastructures en continu, nous utilisons des systèmes de surveillance pouvant générer des alertes en temps réel afin d’alerter nos équipes le plus rapidement possible.
De plus, nous soumettons, à minima une fois par an, nos API et nos serveurs au talent des auditeurs de sécurité afin de garantir que les vulnérabilités pouvant s’y trouver soient détectées et contrôlées le plus rapidement possible.
Signalement de vulnérabilité
Chez Paylead, nous sommes soucieux de protéger les données de nos clients et d'assurer la sécurité de nos services en permanence.
Nous sommes profondément reconaissant auprès des chercheurs et de notre communauté qui signale des problèmes afin que nous puissions prévoir une correction et une divulagation responsable des failles. Tous les rapports sont consciencieusement examinés en interne.
Si vous souhaitez signaler une vulnérabilité, vous pouvez nous contacter à l’adresse suivante : vulnerabilities@paylead.fr.
Vous pouvez chiffrer votre rapport en utilisant la clé GPG de notre équipe Sécurité.
Le chiffrement GPG n'est pas obligatoire pour nous notifier.
Vous devriez utiliser cette liste de diffusion si :
- Vous pensez avoir découvert une potentielle faille de sécurité dans les API ou les services de Paylead
- Vous ne savez pas comment une vulnérabilité affecte les API ou les services de Paylead
- Vous pensez avoir découvert une vulnérabilité dans un autre projet dont Paylead pourrait dépendre
Vous vous posez encore des questions ?
Pour toutes questions relatives à la sécurité de vos données ou de notre infrastructure, vous pouvez nous contacter à l’adresse email suivante : ciso@paylead.fr, nous serons à votre écoute et ravis de vous aider.