Aperçu de la sécurité de PaymentEvolution

Aperçu de l'infrastructure de sécurité de PaymentEvolution, des mesures de protection des données, des certifications de conformité et des procédures de réponse aux incidents.

S'applique à : Tous les utilisateurs de PaymentEvolution, les prospects évaluant la posture de sécurité, les agents de conformité, les administrateurs informatiques, Canada (fr-CA)

Aussi connu sous le nom de : aperçu de la sécurité, documentation de conformité, pratiques de protection des données, certifications de sécurité, sécurité PaymentEvolution.

Avant de commencer

  • Aucun accès au compte ni autorisation spécifique requis pour examiner cette information

Note(s) importante(s)

Avez-vous des questions sur nos pratiques de sécurité ou besoin de documentation supplémentaire? Nous sommes ici pour vous aider. Contactez-nous et nous serons heureux de discuter de la façon dont nous protégeons vos données et soutenons vos exigences de conformité.

Table des matières

Sécurité de l'infrastructure

PaymentEvolution maintient une infrastructure de haute disponibilité pour les services clients, les opérations et l'analyse des données.  

Nos services, opérations et processus sont conçus en plaçant la sécurité au premier plan. Nous nous engageons à être un chef de file de l'industrie en assurant la sûreté, la sécurité et la confidentialité des services que nous fournissons à notre clientèle, quel que soit le niveau de certification. C'est cette passion qui garantit le respect quotidien des protocoles de l'industrie.

En plus de nos propres opérations internes, notre centre de données détient la certification ISO 27001:2013.

Sécurité du réseau

Nos installations de centres de données offrent plusieurs capacités et services de sécurité pour accroître la confidentialité et contrôler l'accès au réseau. PaymentEvolution utilise : 

  • Des pare-feu intégrés qui permettent de contrôler l'accès au réseau

  • Le chiffrement en transit (et au repos) avec TLS pour l'ensemble des services

  • Des technologies d'atténuation des attaques DDoS

  • Une surveillance contre les logiciels malveillants et la détection des menaces

Sécurité physique

Les centres de données de PaymentEvolution sont situés au Canada et nous maintenons une stricte résidence des données au pays. PaymentEvolution tire parti de toutes les capacités de nos fournisseurs, y compris la sécurité physique et les contrôles environnementaux, afin de protéger notre infrastructure contre toute menace ou tout impact physique. Chaque site est doté d'un personnel de sécurité physique sur place 24/7/365 pour empêcher tout accès non autorisé. Les contrôles de sécurité fournis par nos centres de données comprennent, sans s'y limiter : 

  • Des services de garde de sécurité physique 24/7

  • Des restrictions d'accès physique à la propriété et aux installations

  • Les zones techniques du centre de données ne sont accessibles que par des télécommandes RFID programmées et un accès biométrique. Les portes d'accès principales utilisent également la sécurité biométrique. Toutes les zones vitrées sont équipées de verre blindé.

  • Des systèmes de vidéosurveillance suivent les mouvements dans les installations du centre de données et sont surveillés de manière centralisée par une entreprise de sécurité indépendante

  • Les installations ne comportent aucune enseigne extérieure afin de ne pas attirer l'attention

  • L'infrastructure d'alimentation électrique est conditionnée et soutenue par plusieurs niveaux de redondance : des systèmes d'alimentation sans coupure (UPS) et des génératrices de secours dotées d'une capacité de génération au diesel d'au moins 72 heures.

L'accès à l'infrastructure réseau de gestion est fourni par des points d'authentification multifacteur qui limitent l'accès au niveau du réseau à l'infrastructure en fonction des tâches professionnelles, selon le principe du moindre privilège. Tous les accès aux points d'entrée sont étroitement surveillés et sont soumis à des mécanismes rigoureux de contrôle des changements. 

Les systèmes sont protégés par une authentification par clé et l'accès est limité par un contrôle d'accès basé sur les rôles (RBAC). Le RBAC garantit que seuls les utilisateurs qui ont besoin d'accéder à un système peuvent s'y connecter. Nous considérons tout système qui héberge les données clients que nous recueillons, ou tout système qui héberge les données que les clients stockent chez nous, comme étant de la plus haute sensibilité. À ce titre, l'accès à ces systèmes est extrêmement limité et surveillé de près. 

De plus, le stockage et les infrastructures mis hors service sont effacés de manière sécurisée selon les normes NIST SP 800-88 (ou des normes plus strictes une fois ratifiées), s'il y a lieu. 

Surveillance des accès

PaymentEvolution effectue une surveillance continue de nos environnements de production. Nos journaux d'activité enregistrent les actions du système ainsi que les accès et les commandes émanant de nos administrateurs système, de notre personnel de soutien et de nos clients. 

Les journaux sont examinés en temps réel pour identifier toute activité potentiellement malveillante au sein de notre infrastructure. Les comportements des utilisateurs et des systèmes sont surveillés pour détecter toute activité suspecte, et des enquêtes sont menées conformément à nos procédures de signalement et de traitement des incidents. 

Journalisation d'audit

Toutes les transactions de la base de données sont enregistrées à l'aide d'un numéro d'identification d'utilisateur, d'une adresse IP, d'un horodatage et d'informations sur l'action effectuée. 

Accès des employés

Les employés de PaymentEvolution doivent se soumettre à des vérifications policières et à d'autres vérifications d'antécédents. Tous les accès des employés sont enregistrés et sécurisés à l'aide de clés RSA SSH-2 de 2048 bits, considérées comme une norme de l'industrie. PaymentEvolution met en œuvre des processus internes pour l'attribution et le retrait des clés aux employés autorisés. 

Transmission et stockage des données

Toutes les données sont chiffrées en transit avec TLS, à l'aide d'une clé de 2048 bits, signée selon l'algorithme standard de l'industrie SHA256 RSA. PaymentEvolution évalue régulièrement cette norme de chiffrement et apporte des améliorations au fur et à mesure que de nouvelles normes sont ratifiées. Les données au repos (résidant dans nos centres de données) sont chiffrées à l'aide de l'algorithme AES-256 personnalisé de l'industrie. 

Sécurité des instantanés (snapshots) et des sauvegardes

PaymentEvolution récupère, chiffre et stocke des sauvegardes continues de nos systèmes de stockage de données de production. Ces sauvegardes résident au sein de nos centres de données à des fins de sécurité et de conformité. Les sauvegardes de données conservent leur résidence au Canada.

Attestations et certifications

Nos centres de données respectent et dépassent les lois les plus strictes en matière de certification et de conformité. Celles-ci comprennent : 

  • SOC 1/SSAE 16/ISAE 3402 (anciennement SAS 70)

  • SOC 2

  • SOC 3

  • PCI DSS Niveau 1

  • ISO 27001:2013 

Développement d'applications

Les développeurs de PaymentEvolution conçoivent des systèmes et effectuent une batterie de tests sur toutes les demandes de modification touchant plusieurs environnements afin d'assurer la cohérence et la compatibilité ascendante. 

La gestion des versions et le déploiement sont pilotés par une architecture AWS Pipeline, ce qui garantit la possibilité de revenir sur les changements à tout moment. L'authentification basée sur des jetons offre aux administrateurs de PaymentEvolution un contrôle total sur l'accès et son expiration. 

Accords de niveau de service

PaymentEvolution a conclu des accords de niveau de service avec ses fournisseurs d'infrastructure et de surveillance. PaymentEvolution maintient un taux de disponibilité supérieur à 99,9 % de l'infrastructure essentielle et des services destinés aux clients. Les rapports de disponibilité en temps réel et l'historique sont tenus à jour par des tiers et publiés publiquement à l'adresse suivante : http://status.paymentevolution.com   

Transactions financières

PaymentEvolution utilise Stripe et First Data comme fournisseurs de stockage et de traitement des cartes de crédit. Tous deux ont été audités par un auditeur certifié PCI et sont certifiés conformes à la norme PCI Service Provider Level 1. Il s'agit du niveau de certification le plus rigoureux disponible dans le secteur des paiements. 

Les paiements de PaymentEvolution sont traités avec de grandes banques et coopératives de crédit canadiennes qui répondent toutes à nos normes les plus élevées en matière de sécurité, d'audit et de rapports.

Contrôles des systèmes et des organisations (SOC) 3

Les rapports sur les contrôles des systèmes et des organisations (SOC) pour les entreprises de services sont des rapports de contrôle interne créés par l'American Institute of Certified Public Accountants (AICPA). Ils sont destinés à examiner les services fournis par une organisation de services afin que les utilisateurs finaux puissent évaluer et gérer le risque associé à un service externalisé. PaymentEvolution maintient des audits SOC 2 et publie des rapports de synthèse SOC 3.

PaymentEvolution commande chaque année un examen SOC 2 de type 2 complet de nos services. Les rapports de l'auditeur sur ces examens (également appelés audits) sont publiés dès qu'ils sont prêts après la fin de l'audit. Le rapport SOC 3, qui est basé sur l'examen SOC 2, est publié au même moment.

Puisque PaymentEvolution ne contrôle pas la portée de l'examen de l'auditeur ni le calendrier de réalisation de ce dernier, il n'y a pas de délai fixe pour la publication de ces rapports. Les rapports sont généralement publiés quelques mois après la fin de la période visée par l'examen. PaymentEvolution ne permet aucune interruption entre les périodes consécutives d'examen d'un audit à l'autre.

Les clients peuvent télécharger un rapport SOC 3 en cliquant sur la pièce jointe dans cet article.

Sécurité du soutien à la clientèle

Notre équipe du succès client ne vous demandera jamais que les renseignements nécessaires à la résolution du problème en cours. Nous ne vous demanderons jamais votre numéro d'assurance sociale (NAS) ni celui de vos employés. Les renseignements bancaires ne seront demandés que dans le but d'activer un débit préautorisé ou de corriger une situation liée au paiement d'un employé. De plus, nous ne demanderons jamais à vos employés de nous appeler directement. Si vous recevez une demande suspecte, ou toute demande de renseignements sensibles pour laquelle vous avez des doutes, veuillez communiquer avec notre équipe du succès client au 647-776-7600 ou par courriel à support@paymentevolution.com. Nous ne vous demanderons pas de nous contacter par un autre moyen.


TéléchargezPaymentEvolution SOC3 - 1er janvier - 31 décembre 2024.pdf

TéléchargezPaymentEvolution SOC3 - 1er janvier - 31 décembre 2024.pdf

Mots-clés :SOC 1, SOC 2, SOC 3, ISO 42001, Chiffrement des données, Contrôles d'accès, Sécurité du réseau, Sécurité physique, Certifications de conformité, Réponse aux incidents, Journalisation des audits, Sécurité de l'infrastructure, Protection contre les DDOS, Résidence des données, Canada, Politique de confidentialité

Métadonnées :

396

Vous ne trouvez pas ce que vous cherchez? Nous pouvons examiner votre situation plus directement pour vous aider à la résoudre — Créer un dossier ou Communiquez avec nous