Vues :

Sécurité des infrastructures 

PaymentEvolution maintient une infrastructure à haute disponibilité pour les services clients, les opérations et l'analyse des données.    

Nos services, opérations et processus sont architecturés avec la sécurité en tête. Nous nous engageons à être à la pointe du secteur en maintenant la sûreté, la sécurité et la confidentialité des services que nous fournissons à notre clientèle, quel que soit le niveau de certification. C'est cette passion qui garantit le respect quotidien des protocoles du secteur.  

En plus de nos propres opérations internes, notre centre de données est certifié ISO 27001:2013. 

Sécurité des réseaux 

Les installations de nos centres de données offrent plusieurs capacités et services de sécurité pour augmenter la confidentialité et contrôler l'accès au réseau. PaymentEvolution utilise :   

  • Pare-feu intégrés permettant de contrôler l'accès au réseau  

  • Cryptage en transit (et au repos) avec TLS sur tous les services  

  • Technologies d'atténuation des DDoS  

  • Surveillance anti-malware et détection des menaces 

Sécurité matérielle 

Les centres de données de PaymentEvolution sont situés au Canada et nous maintenons une stricte résidence des données au Canada. PaymentEvolution exploite toutes les capacités de ses fournisseurs, y compris la sécurité physique et les contrôles environnementaux, pour sécuriser son infrastructure contre les menaces ou les impacts physiques. Chaque site est doté d'un personnel 24 heures sur 24, 7 jours sur 7 et 365 jours par an, avec une sécurité physique sur place pour se protéger contre toute entrée non autorisée. Les contrôles de sécurité fournis par nos centres de données incluent, mais ne sont pas limités à :   

  • Services de gardiens de sécurité physique 24 heures sur 24 et 7 jours sur 7  

  • Restrictions d'accès physique à la propriété et à l'installation  

  • Les zones utilitaires du centre de données ne sont accessibles que par des porte-clés RFID programmés et un accès biométrique. Les portes d'accès principales utilisent également la sécurité biométrique. Toutes les zones vitrées sont équipées de verre pare-balles. 

  • Les systèmes de vidéosurveillance permettent de suivre les mouvements dans les centres de données et sont contrôlés de manière centralisée par une société de sécurité indépendante.  

  • Les installations ne sont pas marquées afin de ne pas attirer l'attention de l'extérieur.  

  • L'infrastructure électrique est conditionnée et soutenue par plusieurs niveaux de redondance - systèmes UPS et générateurs de secours avec une capacité de production diesel de 72 heures minimum. 

 
L'accès à l'infrastructure du réseau de gestion est assuré par des points d'authentification multifactorielle qui limitent l'accès à l'infrastructure au niveau du réseau en fonction de la fonction exercée, selon le principe du moindre privilège. Tous les accès aux points d'entrée sont étroitement surveillés et font l'objet de mécanismes rigoureux de contrôle des modifications. 
 
Les systèmes sont protégés par une authentification basée sur des clés et l'accès est limité par le contrôle d'accès basé sur les rôles (CABR). Le CABR garantit que seuls les utilisateurs qui ont besoin d'accéder à un système peuvent se connecter. Nous considérons que tout système contenant des données clients que nous collectons, ou des systèmes contenant des données que les clients stockent chez nous, est de la plus haute sensibilité. En tant que tel, l'accès à ces systèmes est extrêmement limité et étroitement surveillé.   

En outre, le stockage et l'infrastructure déclassés sont effacés de manière sécurisée en utilisant les normes NIST SP 800-88 (ou des normes plus élevées telles que ratifiées), le cas échéant. 

Contrôle d'accès 

PaymentEvolution effectue une surveillance continue de nos environnements de production. Notre journalisation comprend les actions du système ainsi que les accès et les commandes émises par nos administrateurs système, notre personnel d'assistance et nos clients.   

Les journaux sont examinés en temps réel pour identifier les activités potentiellement malveillantes au sein de notre infrastructure. Les comportements des utilisateurs et des systèmes sont surveillés pour détecter toute activité suspecte, et des enquêtes sont menées conformément à nos procédures de déclaration et de réponse aux incidents.   

Enregistrement de l'audit 

Toutes les transactions de la base de données sont enregistrées à l'aide d'un numéro d'identification de l'utilisateur, d'une adresse IP, d'un horodatage et d'informations sur l'action effectuée.  

Accès des employés 

Les employés de PaymentEvolution doivent passer des contrôles de police et autres contrôles d'antécédents. Tous les accès des employés sont enregistrés et sécurisés à l'aide de clés SSH-2 RSA de 2048 bits, considérées comme une norme de l'industrie. PaymentEvolution met en œuvre des processus internes pour émettre et rappeler les clés des employés autorisés.   

Transmission et stockage des données 

Toutes les données sont cryptées en transit avec TLS, à l'aide d'une clé de 2048 bits, signée à l'aide de l'algorithme standard industriel SHA256 RSA. PaymentEvolution évalue régulièrement cette norme de cryptage et met en œuvre des améliorations lorsque de nouvelles normes sont ratifiées. Les données au repos (résidant dans nos centres de données) sont cryptées à l'aide de l'algorithme standard de l'industrie AES-256.   

Sécurité des instantanés et des sauvegardes 

PaymentEvolution récupère, crypte et stocke des sauvegardes continues de nos systèmes de stockage de données de production. Ces sauvegardes résident dans nos centres de données pour des raisons de sécurité et de conformité. Les sauvegardes de données restent résidentes au Canada. 

Attestations et certifications 

Nos centres de données respectent et dépassent les lois les plus strictes en matière de certification et de conformité. Il s'agit notamment de :    

  • SOC 1/SSAE 16/ISAE 3402 (anciennement SAS 70)  

  • SOC2  

  • SOC3  

  • PCI DSS niveau 1  

  • ISO 27001:2013   

Développement d'applications 

Les développeurs de PaymentEvolution construisent des systèmes qui exécutent une batterie de tests sur toutes les demandes de changement couvrant de multiples environnements afin d'assurer la cohérence et la rétrocompatibilité.   

La gestion et le déploiement des versions sont pilotés par une architecture AWS Pipeline, garantissant la possibilité de revenir sur les changements à tout moment. L'authentification par jeton fournit aux administrateurs de PaymentEvolution un contrôle total sur l'accès et l'expiration de l'accès.   

Accords de niveau de service 

PaymentEvolution a mis en place des accords de niveau de service avec nos fournisseurs d'infrastructure et de surveillance. PaymentEvolution maintient un temps de fonctionnement supérieur à 99,9% pour l'infrastructure de base et les services destinés aux clients. Le temps de fonctionnement en temps réel et les rapports historiques sont maintenus par des tiers et publiés sur http://status.paymentevolution.com.  

Transactions financières 

PaymentEvolution utilise Stripe et First Data comme fournisseurs de stockage et de traitement des cartes de crédit. Tous deux ont été contrôlés par un auditeur certifié PCI et sont certifiés PCI Service Provider Level 1. Il s'agit du niveau de certification le plus rigoureux disponible dans l'industrie des paiements.   

Les paiements de PaymentEvolution sont traités par des banques et des coopératives de crédit canadiennes de premier plan - qui répondent toutes à nos normes les plus élevées en matière de sécurité, d'audit et de rapports.