Dispositions de sécurité
La sécurité étant l'une des considérations les plus importantes de notre système diverses mesures ont été prises afin d'assurer sa mise en place et sa pérennité.
Toutes les communications sont encryptées par TLS (Transport Layer Security) y compris le site KKiaPay et le tableau de bord. Les communications entre L’API REST, les différents SDKs et le serveur sont possibles uniquement en HTTPS (HyperText Transfer Protocol Secure).
Les détails de notre implémentation tels que : les certificats que nous utilisons, les autorités de certification que nous utilisons et les chiffrements que nous supportons sont régulièrement sujets à vérification.
Le HSTS (HTTP Strict Transport Security) est utilisé afin de garantir que quelque soit le navigateur les interactions avec KKiaPay ait lieu uniquement via HTTPS.
Toutes les données sensibles sont cryptées sur disque en AES-256 (Advanced Encryption Standard). Les clés de décryptage sont stockées sur des machines distinctes. Aucun des serveurs internes ni services de KKiaPay n’a de ce fait accès à ces données. En revanche, il est permis aux modules internes de procéder à l'envoi de ces données vers le fournisseur de la solution de paiement.
Afin d'assurer l'authenticité et la confidentialité de notre solution les dispositions ci-après ont été prises :
- La restriction de l'accès au tableau de bord uniquement aux utilisateurs ayant passé par l'authentification par email et mot de passe mise en place sur la base des recommandations du protocole OAUTH2;
- La double authentification (optionnelle) par SMS ou par QR Code demandée avant chaque accès au tableau de bord;
- L’utilisation de l’API est protégée par un contrôle explicite des entêtes des requêtes;
- La génération d'une unique paire de clés RSA pour chaque fournisseur de services afin de procéder à l'authentification de ses requêtes et au décryptage de ses informations;
- La mise en place des protections CORS (Cross Origin Resource Sharing) et CSRF (Cross Site Request Forgery) pour garantir un échange en confiance entre les sites/applications du fournisseur de services et KKiaPay.