Aperçu de la sécurité de PaymentEvolution

Aperçu de l'infrastructure de sécurité de PaymentEvolution, des mesures de protection des données, des certifications de conformité et des procédures de réponse aux incidents.

S'applique à : Tous les utilisateurs de PaymentEvolution, les prospects évaluant la posture de sécurité, les agents de conformité, les administrateurs informatiques, Canada (fr-CA)

Aussi connu sous le nom de : aperçu de la sécurité, documentation de conformité, pratiques de protection des données, certifications de sécurité, sécurité PaymentEvolution.

Avant de commencer

  • Aucun accès au compte ni autorisation spécifique requis pour examiner cette information

Note(s) importante(s)

Avez-vous des questions sur nos pratiques de sécurité ou besoin de documentation supplémentaire? Nous sommes ici pour vous aider. Contactez-nous et nous serons heureux de discuter de la façon dont nous protégeons vos données et soutenons vos exigences de conformité.

Table des matières

Sécurité de l'Infrastructure

PaymentEvolution maintient une infrastructure hautement disponible pour les services clients, les opérations et l'analyse de données.  

Nos services, opérations et processus sont conçus avec la sécurité en priorité. Nous nous engageons à être des leaders dans l'industrie pour maintenir la sécurité et la confidentialité des services que nous offrons à notre clientèle, quel que soit le niveau de certification. C'est cette passion qui assure le respect quotidien des protocoles de l'industrie.

En plus de nos propres opérations internes, notre centre de données maintient la certification ISO 27001:2013.

Sécurité du Réseau

Nos installations de centres de données fournissent plusieurs capacités de sécurité et services pour accroître la confidentialité et contrôler l'accès au réseau. PaymentEvolution utilise : 

  • Pare-feux intégrés qui permettent de contrôler l'accès au réseau

  • Cryptage en transit (et au repos) avec TLS pour tous les services

  • Technologies de mitigation DDoS

  • Surveillance anti-malware et détection de menaces

Sécurité Physique

Les centres de données de PaymentEvolution sont situés au Canada et nous maintenons une stricte résidence des données au Canada. PaymentEvolution tire parti de toutes les capacités de nos fournisseurs, y compris la sécurité physique et les contrôles environnementaux, pour sécuriser notre infrastructure contre les menaces ou impacts physiques. Chaque site est doté d'une sécurité physique sur place 24h/24, 7j/7, 365j/an pour protéger contre les entrées non autorisées. Les contrôles de sécurité fournis par nos installations de centre de données incluent, mais ne sont pas limités à : 

  • Services de garde de sécurité physique 24h/24

  • Restrictions d'entrée physique à la propriété et à l'installation

  • Les zones utilitaires du centre de données ne sont accessibles que par des clés électroniques RFID programmées et un accès biométrique. Les portes principales utilisent également une sécurité biométrique. Les zones vitrées utilisent du verre pare-balles.

  • Les systèmes de vidéosurveillance suivent les mouvements à travers les installations du centre de données et sont surveillés centralement par une firme de sécurité indépendante

  • Les installations ne portent aucune marque pour ne pas attirer l'attention de l'extérieur

  • L'infrastructure d'alimentation est conditionnée et soutenue par plusieurs niveaux de redondance - systèmes UPS et générateurs de secours avec une capacité de génération diesel minimale de 72 heures.

L'accès à l'infrastructure du réseau de gestion est fourni via des points d'authentification multi-facteurs qui limitent l'accès au niveau réseau en fonction de la fonction de travail en utilisant le principe du moindre privilège. Tous les accès aux points d'entrée sont étroitement surveillés et soumis à des mécanismes de contrôle de changement rigoureux. 

Les systèmes sont protégés par une authentification basée sur une clé et l'accès est limité par un contrôle d'accès basé sur les rôles (RBAC). RBAC garantit que seuls les utilisateurs qui ont besoin d'un accès à un système peuvent se connecter. Nous considérons tout système qui héberge des données clients que nous collectons ou des systèmes qui hébergent les données que les clients stockent chez nous comme étant de la plus haute sensibilité. En tant que tel, l'accès à ces systèmes est extrêmement limité et étroitement surveillé. 

De plus, le stockage et l'infrastructure mis hors service sont effacés de manière sécurisée en utilisant les normes NIST SP 800-88 (ou des normes plus élevées telles que ratifiées) lorsque cela est applicable. 

Surveillance des Accès

PaymentEvolution effectue une surveillance continue de nos environnements de production. Notre journalisation comprend les actions système ainsi que les accès et commandes émis par nos administrateurs système, personnel de support et clients. 

Les journaux sont révisés en temps réel pour identifier une activité potentiellement malveillante au sein de notre infrastructure. Les comportements des utilisateurs et des systèmes sont surveillés pour détecter toute activité suspecte, et des enquêtes sont menées selon nos procédures de rapport et de réponse aux incidents. 

Journalisation des Audits

Toutes les transactions de base de données sont enregistrées en utilisant un numéro d'identification utilisateur, une adresse IP, un horodatage et des informations sur l'action effectuée. 

Accès des Employés

Les employés de PaymentEvolution doivent réussir des vérifications policières et d'autres vérifications d'antécédents. Tous les accès des employés sont consignés et sécurisés à l'aide de clés SSH-2 RSA 2048 bits et sont considérés comme une norme industrielle. PaymentEvolution implémente des processus internes pour émettre et rappeler les clés des employés autorisés. 

Transmission et Stockage des Données

Toutes les données sont cryptées en transit avec TLS, utilisant une clé de 2048 bits, signée avec l'algorithme standard industriel SHA256 RSA. PaymentEvolution évalue régulièrement cette norme de cryptage et met en œuvre des améliorations à mesure que de nouvelles normes sont ratifiées. Les données au repos (stockées dans nos centres de données) sont cryptées à l'aide de l'algorithme standard industriel AES-256. 

Sécurité des Instantanés et des Sauvegardes

PaymentEvolution récupère, chiffre et stocke des sauvegardes continues de nos systèmes de stockage de données de production. Ces sauvegardes résident dans nos centres de données à des fins de sécurité et de conformité. Les sauvegardes de données maintiennent leur résidence au Canada.

Attestations et Certifications

Nos centres de données satisfont et excèdent les lois les plus strictes de certification et de conformité. Ceux-ci incluent : 

  • SOC 1/SSAE 16/ISAE 3402 (anciennement SAS 70)

  • SOC2

  • SOC3

  • Niveau 1 PCI DSS

  • ISO 27001:2013 

Développement d'Applications

Les développeurs de PaymentEvolution construisent des systèmes et effectuent une série de tests sur toutes les demandes de changement couvrant plusieurs environnements pour assurer la cohérence et la compatibilité ascendante. 

La gestion des versions et le déploiement sont pilotés par une architecture AWS Pipeline, garantissant la possibilité de revenir sur les changements à tout moment. L'authentification par jeton donne aux administrateurs de PaymentEvolution un contrôle total sur l'accès et l'expiration de cet accès. 

Accords de Niveau de Service

PaymentEvolution a des accords de niveau de service en place avec nos fournisseurs d'infrastructure et de surveillance. PaymentEvolution maintient une disponibilité supérieure à 99,9 % de l'infrastructure principale et des services auxquels les clients font face. Les rapports de disponibilité en temps réel et historiques sont maintenus par des tiers et publiés publiquement sur http://status.paymentevolution.com   

Transactions Financières

PaymentEvolution utilise Stripe et First Data comme nos fournisseurs de stockage et de traitement de cartes de crédit. Les deux ont été audités par un auditeur certifié PCI et sont certifiés au niveau 1 des fournisseurs de services PCI. Il s'agit du niveau de certification le plus rigoureux disponible dans l'industrie des paiements. 

Les paiements PaymentEvolution sont traités avec des banques canadiennes et des caisses populaires leaders - toutes respectant nos normes les plus élevées pour la sécurité, l'audit et le rapport.

Contrôles du Système et de l'Organisation (SOC) 3

Les contrôles du Système et de l'Organisation (SOC) pour les organisations de services sont des rapports internes de contrôle créés par l'American Institute of Certified Public Accountants (AICPA). Ils visent à examiner les services fournis par une organisation de services afin que les utilisateurs finaux puissent évaluer et aborder le risque associé à un service externalisé. PaymentEvolution maintient des audits SOC 2 et publie des rapports sommaires SOC 3.

PaymentEvolution commande un examen complet de type 2 SOC 2 de nos services chaque année. Les rapports de l'auditeur sur ces examens (également appelés audits) sont émis dès qu'ils sont prêts après cet audit. Le rapport SOC 3, basé sur l'examen SOC 2, est émis en même temps.

Parce que PaymentEvolution ne contrôle ni la portée de l'enquête ni le calendrier de l'achèvement de l'auditeur, il n'y a pas de calendrier fixé pour la publication de ces rapports. Les rapports sont généralement émis quelques mois après la fin de la période en cours d'examen. PaymentEvolution ne permet pas de lacunes dans les périodes consécutives d'examen d'un examen à l'autre.

Les clients peuvent télécharger un rapport SOC 3 en cliquant sur la pièce jointe dans cet article.

TéléchargezPaymentEvolution SOC3 - 1er janvier - 31 décembre 2024.pdf

TéléchargezPaymentEvolution SOC3 - 1er janvier - 31 décembre 2024.pdf

Mots-clés :SOC 1, SOC 2, SOC 3, ISO 42001, Chiffrement des données, Contrôles d'accès, Sécurité du réseau, Sécurité physique, Certifications de conformité, Réponse aux incidents, Journalisation des audits, Sécurité de l'infrastructure, Protection contre les DDOS, Résidence des données, Canada, Politique de confidentialité

Métadonnées :

396

Vous ne trouvez pas ce que vous cherchez? Nous pouvons examiner votre situation plus directement pour vous aider à la résoudre — Créer un dossier ou Communiquez avec nous