Sécurité

Les données de carte restent en sécurité avec nous

Nous protégeons les données de carte dans notre vault PCI DSS Niveau 1 : chiffrées, stockées uniquement dans des centres de données européens, chaque accès étant journalisé. Vous ne touchez jamais le numéro de carte — vous travaillez uniquement avec des tokens.

Certification

PCI DSS Niveau 1

Il s'agit du niveau de conformité PCI le plus élevé. Cela signifie que notre vault est audité chaque année par des évaluateurs indépendants, et vous héritez d'une grande partie de cette protection.

Audit annuel

Un évaluateur PCI qualifié (QSA) vérifie chaque année que nous respectons toutes les exigences. Le rapport est disponible pour les réseaux de paiement et, sur demande, pour vous également.

Analyses trimestrielles

Chaque trimestre, nous analysons l'infrastructure exposée à Internet. Si nous détectons quoi que ce soit à corriger, nous le résolvons avant l'analyse suivante.

Moins de charge pour vous

Étant donné que les données de carte résident dans notre vault, votre périmètre PCI se réduit. Vous pouvez souvent compléter un questionnaire simplifié (SAQ A) au lieu de tout gérer vous-même.

Europe uniquement

Les données de carte ne quittent jamais l'UE

Nous stockons et traitons les données de carte exclusivement au sein de l'Union européenne. Aucune copie hors d'Europe, aucun cloud non-européen pour les opérations du vault.

Conçu pour le RGPD

Les accords de traitement des données, les bases légales et la documentation sont déjà en place. Vous savez où se trouvent les données et qui les gère : nous, au sein de l'UE.

Centres de données en Allemagne et aux Pays-Bas

Infrastructure redondante avec haute disponibilité. La reprise après sinistre reste également dans les frontières européennes.

Aucun transfert à l'étranger

Les clés de chiffrement, les mappings de tokens et les journaux d'audit restent sous juridiction européenne. Aucun risque lié aux transferts de données hors d'Europe.

Ce que nous garantissons

Données de carte stockées uniquement dans des centres de données UE
Clés de chiffrement générées et conservées dans l'UE
DPA conforme à l'art. 28 du RGPD disponible
Aucun sous-traitant non-UE pour le vault
Reprise après sinistre dans les frontières de l'UE
Chiffrement

Chiffré au repos et en transit

Les données de carte ne circulent jamais en clair. Nous les chiffrons lors du stockage et lors de leur transfert entre nos systèmes.

01

AES-256 dans le vault

Au repos

Chaque numéro de carte dans le vault est chiffré avec AES-256. Les clés restent protégées dans un matériel dédié (HSM). Nous ne les exportons jamais en clair.

02

TLS 1.3 en transit

Connexions sécurisées uniquement

Les API et les flux de paiement utilisent TLS 1.3. Les versions antérieures sont désactivées. Même si quelqu'un interceptait le trafic passé, il ne pourrait pas le déchiffrer.

03

Rotation des clés

Sans interruption

Les clés maîtresses sont renouvelées chaque année, comme l'exige PCI DSS. Le rechiffrement s'effectue en arrière-plan : rien ne change pour vous ni pour vos clients.

AES-256

Chiffrement au repos

TLS 1.3

Entre les systèmes

Annuelle

Rotation des clés

Matériel dédié

Les clés résident dans un HSM

Un HSM est un dispositif matériel inviolable dans lequel nous générons et stockons les clés de chiffrement. Les numéros de carte n'en sortent jamais en clair.

Certifié FIPS 140-2 Niveau 3

Une norme reconnue pour la sécurité matérielle. Si quelqu'un tente d'ouvrir physiquement l'appareil, les clés sont automatiquement détruites.

Clés générées à l'intérieur du HSM

La génération, la rotation et la destruction se déroulent uniquement au sein du périmètre du HSM. Nous ne stockons jamais les clés maîtresses sur disque ou dans un stockage cloud générique.

Résistance aux intrusions physiques

Des capteurs et des boîtiers dédiés détectent les tentatives d'accès physique. En cas d'anomalie, le matériel cryptographique est effacé.

Comment une requête circule

Votre requête API (TLS 1.3)
Moteur PCI Proxy Reçoit les données de carte et crée le token
HSM (FIPS 140-2 L3) Génère les clés et chiffre les données de carte
Vault chiffré (AES-256) Numéro de carte chiffré, clés dans le HSM uniquement
Protection active

Contrôles anti-abus

Au-delà du chiffrement et de la tokenisation, nous surveillons chaque requête. Si quelque chose semble anormal, nous le bloquons ou le signalons avant que cela ne devienne un problème.

Limites de débit

Nous détectons les pics inhabituels de requêtes provenant d'un même compte, d'une même adresse IP ou d'une même clé API. Des seuils configurables déclenchent des blocages temporaires et alertent l'équipe sécurité.

Schémas suspects

Nous analysons le trafic pour détecter les comportements inhabituels : tests séquentiels, volumes anormaux, incohérences géographiques. Les requêtes signalées sont bloquées conformément à votre politique.

Surveillance 24h/24

Notre équipe sécurité surveille les erreurs, la latence et les accès aux données. Si quelque chose s'écarte de la normale, nous intervenons en quelques minutes.

Tests externes

Nous sommes également testés de l'extérieur

Nous ne nous limitons pas aux audits PCI : des tests de pénétration réguliers et des analyses tierces vérifient que le vault reste solide.

01

Tests de pénétration

Deux fois par an, des entreprises accréditées simulent des attaques sur notre réseau et nos API. Chaque problème détecté est corrigé puis revérifié.

02

Gestion des vulnérabilités

Analyses internes hebdomadaires de tous les composants. Les problèmes critiques sont résolus dans des délais définis : les plus graves dans les 24 heures.

03

Rapport SOC 2 Type II

Chaque année, des auditeurs indépendants vérifient la sécurité, la disponibilité et la confidentialité. Sur demande sous NDA, nous partageons le rapport avec nos clients.

04

Développement sécurisé

Chaque modification du code fait l'objet d'une revue et de tests automatisés. Avant toute intervention sur le vault, nous évaluons les risques de manière structurée.

En cas d'incident

Réponse aux incidents

Nous espérons que cela n'arrivera jamais. Mais si un événement de sécurité se produit, nous le détectons, le contenons et vous tenons informés en toute transparence.

24/7
Surveillance

Toujours actif

Corrélation des journaux et alertes en temps réel sur toute l'infrastructure

<15m
Détection

Première intervention

Nous classifions la sévérité et démarrons le confinement en 15 minutes

<72h
Communication

Nous vous notifions

Si nécessaire, nous notifions dans les 72 heures, comme l'exigent le RGPD et PCI

Après
Amélioration

Analyse et correctifs

Post-mortem avec actions correctives pour éviter que cela ne se reproduise

Disponibilité : 99,95 % de temps de fonctionnement avec basculement automatique. Un incident en production est transmis à l'équipe senior en 5 minutes.

99,95 % de disponibilité
Certifications

Normes que nous respectons

PCI DSS, RGPD, SOC 2 et matériel certifié : pas seulement des labels, mais des contrôles vérifiés chaque année.

PCI DSS N1

Niveau PCI le plus élevé

FIPS 140-2 L3

Matériel HSM certifié

SOC 2 Type II

Contrôles vérifiés

RGPD

Données dans l'UE uniquement

Audit PCI annuel

Rapport de conformité complet

Analyses trimestrielles

Vulnérabilités externes

Tests d'intrusion semestriels

Tiers accrédités

Vous souhaitez savoir comment nous protégeons vos paiements ?

Nous gérons le vault PCI. Vous intégrez l'API et travaillez avec des tokens. Moins de risques, moins de paperasse, les mêmes paiements.

Comment ça fonctionne Conformité PCI DSS Intégrations Demander les détails de sécurité