APPENDICE 2 : Politique de sécurité de PayFit

Mise en ligne le 07 juin 2022

Mesures de sécurité techniques

Mesures d’authentification

Identifiant unique par utilisateur
Respect des recommandations de la CNIL en matière de mots de passe (authentification forte, limitation du nombre de tentatives d’accès, renouvellement périodique des mots de passe, stockage sécurisé des mots de passe…)
Authentification 2FA

Enregistrement des accès et gestion des incidents

Journalisation des accès, des anomalies et des évènements liés à la sécurité
Enregistrement des incidents dans un fichier de journalisation
Protection des équipements de journalisation contre les accès non autorisés
Conservation des logs pendant 9 mois
Examen périodique des journaux d’évènement
Réplication des logs sur trois nœuds dans trois régions différentes de France
Accès aux données personnelles par le personnel autorisé en interne via un vpn et une authentification 2FA
Accès aux données réservé aux équipes onboarding, service client et maintenance avec justification appropriée

Disponibilité et résilience

Réplication des données sur deux nœuds pour les bases de données et trois nœuds pour le stockage AWS S3
Hébergement des nœuds sur un datacenter spécifique
Capacité de basculement (failover) automatique des serveurs
Sauvegardes effectuées toutes les heures
Processus de récupération vérifié quotidiennement
Cryptage HTTPS des sauvegardes lors de leur transfert
Réplication des sauvegardes trois avec protection des accès par le système de gestion des droits AWS et Kubernetes

Hébergement & Réseau

Hébergement assuré par Amazon Web Services dans des serveurs localisés en UE, certifiés ISO 27001
Transmission entre le serveur et des tiers cryptés en HTTPS de bout en bout
Division fonctionnelle du réseau PayFit en sous-réseaux en vue d'assurer la sécurité : séparation des environnements de test et de production
Back-office PayFit isolé d'Internet à l'exception d'un seul point d'entrée proxy
Surveillance et enregistrement de l'historique du système qui stocke et/ou traite les données personnelles
Synchronisation des serveurs par un serveur AWS NTP
Cloisonnement des sites web et réseaux wifi (HTTPS, TLS)
Cloisonnement des réseaux internes et externes
Accès limités aux outils et interfaces d’administration
Réalisation des mises à jour critiques sans délai
Installation d’outils de détection des vulnérabilités

Sécurisation des postes fixes et mobiles

Sécurité des données et des flux

Chiffrement des pièces jointes
Chiffrement des données (hachage, protection des clés secrètes…)
Encryptage des données hébergées et transférées
Non-transmission des données sensibles aux sous-traitants
Transfert de données en TLS/SSL avec HSTS et en mode de confidentialité de transmission parfaite

Sécurité physique des locaux et lieux de stockage des données

Alarme anti-intrusion
Vidéosurveillance 24/7
Contrôle des accès (badges, portes et armoire fermées à clé, conservation des accès physiques pendant 45 jours)
Supervision des visiteurs
Système anti-incendie

Personnel

Vérification du background des candidats en application de la réglementation
Obligations de confidentialité et charte informatique
Formations sécurité obligatoires pour les salariés
Application de la matrice de responsabilité RACI à chaque tâche de développement et de management

Gestion des habilitations

Sensibilisation du personnel et confidentialité des données

Sensibilisation du personnel aux risques liés aux libertés et à la vie privée
Engagement de confidentialité du personnel
Cartographie des traitement et suivi de la conformité
Désignation d’un délégué à la protection des données (DPO)
Registre des activités de traitement (article 30 du RGPD) mis à jour régulièrement
Fiabilité des calculs régulièrement testée via un système de vérification automatique
Mise en place d'un service juridique consacré à la mise en conformité

Sécurité des sous-traitants ultérieurs

Sous-traitance uniquement à des sous-traitants ultérieurs présentant des garanties suffisantes au regard de la réglementation
Accord sur la protection des données conclu avec les sous-traitants ultérieurs (article 28 du RGPD)
Vérification systématique de la conformité réglementaire, financière et de sécurité du fournisseur lors de la fourniture d'un nouvel équipement du système d'information
Mention dans chaque contrat des exigences en matière de risques liés à la sécurité des données définissant le cadre des interventions en cas de faille
Introduction de clauses d'évaluation par PayFit des mécanismes de contrôle et des procédures du fournisseur en matière de sécurité de l'information

Continuité des Services

Mise en place d'une procédure pour les évènements de sécurité
Formation des personnels à la procédure
Transmission des évènements de sécurité à une équipe d'urgence
Analyse de l'évènement par un membre de l'équipe d'urgence
Information de l'ensemble des équipes des causes et conséquence de l'incident pour prévenir sa survenance future
Examen approfondi par l'équipe de maintenance, les services concernés et notamment le service juridique et communication

Ressources numériques

Politique de sécurité des appareils centralisée (inventaire, verrouillage automatique, complexité des mdp, pare-feu, restrictions d'installation, MàJ automatique, verrouillage à distance)
Politique centralisée d'outils autorisés à traiter les données par type et classification
Accès au code-source contrôlé
Vérification des modifications par les pairs
Droits d'accès centralisés sur tous les logiciels SaaS
En cas de sous-traitance : vérification de la sécurité et de la conformité

Audits

Audits réguliers via Sentry et AWS Cloudtrail pour évaluer la sécurité de l'application PayFit et de ses infrastructures
Mise en place d'un système de récompense sur HackerOne pour identifier et réduire le risque sur la sécurité des données via une invitation
Mise en œuvre d'un audit par un organisme tiers indépendant dans le cadre de la certification ISO 27001

Référentiel sécurité