Security policy.

Chez PayLead nous sommes pleinement conscients de l’importance vos données. C’est pourquoi nous nous engageons au quotidien à développer les meilleurs systèmes de sécurité possibles.

Nous partageons tous, au sein de notre équipe, la conviction que la transparence est essentielle dans la construction d’une relation de confiance, c’est la raison pour laquelle il est important pour nous que vous compreniez le soin que nous portons à la protection de vos données.

Ainsi nous vous invitons à lire attentivement cette charte, et à prendre connaissance de notre exigence en matière de sécurité et de protection.

Par ailleurs, nous savons pertinemment que la lecture de ces documents est généralement longue et fastidieuse. C’est pour cela que nous nous sommes attachés à rédiger pour vous un contenu court, simple, mettant en avant les informations qu’il est nécessaire pour vous de connaître.

Notre communication concernant la sécurité a vocation à être totalement transparente et nous nous efforçons de la rendre accessible et compréhensible de tous.

La protection de vos données

Afin d’assurer la protection de vos données, nous mettons en oeuvre différents mécanismes de protections. Parmi ces protections, nous pouvons noter :

  • Des réseaux privés et isolés pour nos infrastructures de back-end

Nous n’exposons que le strict minimum sur Internet : nos connecteurs d’API. Tous les services sur lesquels l’API repose sont isolés du reste du monde et ne sont pas accessibles directement sur Internet. Ceci permet de réduire et de limiter considérablement la surface d’attaque.

  • L’utilisation de firewall sur l’ensemble de nos serveurs

Afin d’assurer un niveau de protection optimal, chaque serveur limite les accès à ses services. Nous avons mis en place des restrictions de port mais également un mécanisme de whitelist reposant sur l’adresse IP ou des ensembles de machines (aka groupe de sécurité) pour le filtrage. Cette spécificité est également mise en place sur nos réseaux isolés afin d’éviter tout risque de propagation latérale en cas de compromission d’un serveur.

En complément, et sur les environnements qui nous le permettent, nous ajoutons des équipements intermédiaires de filtrage entre chaque serveurs afin d’appliquer le principe de défense en profondeur.

  • Un monitoring constant de l’état de nos machines

L’état d’utilisation de nos machines et de nos services sont surveillés, ainsi en cas d’activité suspecte nous avons la capacité de le détecter immédiatement et de réagir.

  • Une politique stricte de “Zero trust network”

Nous partons du principe que la couche réseau ne doit pas être considérée comme sûre quelque soit l’endroit où elle se trouve.

Ainsi, le réseau de nos locaux ne bénéficie pas de dérogations particulières dans les règles de pare-feux. Seul un subset de machines est autorisé à servir de machine “de rebond” afin de nous permettre d’administrer nos serveurs. Ces machines font également l’objet d’une surveillance.

Mais la sécurité des communications passe aussi par les méthodes utilisées pour communiquer avec nos machines, par défaut, nous n’utilisons et n’autorisons que les communications qui utilisent des connexions sécurisées via TLS v1.2. En supplément, nous avons configuré nos serveurs afin qu’ils n’utilisent que des mécanismes de chiffrement récents, robustes et sécurisés (AES-256).

  • Des audits et des accès facilités aux données en cas de nécessité

Nous avons configuré nos services de manière à ce que leurs journaux d’activité soient remontés dans un “puit de log”, cet équipement est en charge d'agréger l’ensemble des journaux de nos machines et d'assurer qu’en cas d’incidents, les éléments les plus importants seront disponibles et rapidement accessibles.

L’accès à des données de production n’est réservé qu’à un nombre limité de personnes identifiées et sur validation des équipes de sécurité après vérification de la motivation de cet accès.

Tous les accès aux données et aux serveurs contenant les données sont, de fait, journalisés et conservés.

  • La formation de nos équipes est notre priorité

Parce que le maillon faible de la sécurité sera toujours principalement le facteur humain, nous sensibilisons tout nouvel arrivant à la sécurité au moyen d’une formation. Cette formation permet de présenter les risques de base ainsi que les réflexes à adopter en cas de suspicion d’activité malveillante.

La protection en continu

Afin d’assurer la protection de nos infrastructures en continu, nous utilisons des systèmes de surveillance pouvant générer des alertes en temps réel afin d’alerter nos équipes le plus rapidement possible.

De plus, nous soumettons, une à deux fois par an, nos API et nos serveurs au talent des auditeurs de sécurité afin de garantir que les vulnérabilités pouvant s’y trouver soient détectées et contrôlées le plus rapidement possible.

Nous avons également mis en place un système de “bug bounty” permettant à tous les chercheurs en sécurité indépendants de tester nos infrastructures selon des limites définies au terme du contrat avec HackerOne.

Vous voulez nous aider ? Vous avez un bug à signaler ? Rendez-vous sur cette page et tentez de gagner une récompense !

Si vous souhaitez signaler une vulnérabilité sans passer par notre plateforme de bug bounty, vous pouvez nous contacter à l’adresse suivante : security@paylead.fr .

Certifications

Les travaux de certifications sont en cours, nous serons bientôt en mesure d’afficher fièrement un nouveau pictogramme ici, restez à l’écoute !

PayLead s’est engagé dans un processus long afin d’obtenir une certification ISO 27001, nous estimons une validation de la part d’auditeurs indépendants courant 2020.

Vous vous posez encore des questions ? Discutons-en !

Pour toutes questions relatives à la sécurité de vos données ou de notre infrastructure, vous pouvez nous contacter à l’adresse email suivante : security@paylead.fr, nous serons à votre écoute et ravis de vous aider.