Une sécurité de haut niveau sur laquelle vous pouvez compter

Shield icon

Notre certification ISO 27001, notre accréditation TÜV Saarland et nos contrôles de sécurité complets protègent les données de paiement de vos clients à chaque point de contact—donnant à vos utilisateurs une confiance totale dans chaque transaction.

Recommandé par les équipes les plus exigeantes en matière de sécurité

Caractéristiques de sécurité clés

Chiffrement des données en transit sans stockage d'identifiants bancaires

Utilisation des identifiants exactement comme fournis par la banque, aucun identifiant supplémentaire nécessaire

Accès granulaire aux droits et privilèges pour les marchands et les employés Trustly

Périodes de conservation conformes au RGPD pour les données de transaction

Shield icon

Communication exclusivement en SSL/TLS

Hébergement basé dans l'UE sur nos propres serveurs et services cloud

Capacités de reprise après sinistre et de continuité d'activité pour garantir un temps de fonctionnement optimal

Vérifications de sécurité externes

Trustly met en œuvre les meilleures pratiques pour maintenir la conformité avec les normes et réglementations —et garantit à ses utilisateurs que les informations fournies à Trustly sont entièrement protégées.

Pour demander l'accès aux documents et/ou certifications listés ci-dessous, veuillez remplir notre formulaire.

ISO Icon
Check mark

ISO 27001

Trustly est certifié ISO 27001 et ses serveurs sont hébergés dans des installations certifiées ISO 27001.

TUV Approved pament system
Check mark

Protection des données

Trustly est accrédité selon la norme TÜV Saarland "Approved Data Protection" (Protection des données approuvée).

TUV Approved pament system
Check mark

Normes de paiement

Trustly est accrédité selon le système "Approved Payment System" (Système de paiement approuvé) de TÜV Saarland.

Check mark

Tests de pénétration

Des tests de pénétration sont effectués par des entreprises tierces.

Qualys
Check mark

Notation "A+" SSL/TLS

Le chiffrement en transit de Trustly utilise SSL/TLS et obtient une notation "A+" sur Qualys SSL Labs Test.

GDPR Compliant Icon
Check mark

Conformité RGPD

Trustly est conforme au RGPD et traite les données privées comme des données de paiement.

Accès rapide

Mesures techniquesContrôles de sécurité organisationnels

Mesures techniques

Surveillance et prévention

  • L'organisation met en œuvre des outils de surveillance pour détecter les intrusions réseau, les menaces web et les vulnérabilités des applications.
  • L'organisation met également en œuvre la protection Layer 7.

Anti-malware

  • Un anti-malware est installé sur tous les terminaux (ordinateurs, portables, smartphones et tablettes).
  • La signature du code d'application, le sandboxing et la mise en quarantaine de fichiers sont utilisés sur tous les smartphones et tablettes.
  • La technologie EDR/XDR est utilisée comme anti-malware sur les agents sur ordinateurs et portables compatibles.
  • L'EDR/XDR est géré et surveillé par un Centre des Opérations de Sécurité (SOC) 24/7.
  • L'anti-malware est centralement packagé et déployé par du personnel autorisé uniquement.

Accès aux données

  • L'organisation met en œuvre des contrôles qui limitent l'accès aux données de l'organisation aux systèmes et applications de confiance selon les méthodes d'authentification chiffrées.
  • L'organisation met en œuvre des contrôles qui limitent l'accès aux informations critiques de l'organisation, aux données sensibles et aux systèmes critiques sur les appareils ou terminaux en utilisant uniquement le chiffrement pour l'authentification à distance.
  • L'organisation met en œuvre l'authentification multi-facteur (MFA) pour tous ses accès aux données critiques et sensibles.
  • L'accès aux données est verrouillé de sorte que les terminaux nécessitant un accès aux applications doivent utiliser un terminal de confiance.

Chiffrement

  • Toutes les connexions HTTPS sont protégées avec le TLS 1.2 à 1.3 ou plus récent.
  • L'échange de clés équivalent est protégé par d'autres types de connexions cryptées telles que IPSEC, SSH ou SFTP.
  • Le chiffrement de fichier ou de message utilise le RSA avec au moins 2048 bits de clé ou ECC avec une longueur de courbe standard en P256.
  • Le cryptage des disques de systèmes de fichiers utilise AES avec une longueur d'au moins 256 bits.
  • Le stockage des terminaux (ordinateurs, portables, smartphones et tablettes) est protégé par chiffrement intégral du disque dur.
  • Les sauvegardes hors base de données sont protégées par chiffrement.
  • Les emails sont stockés cryptés au repos sur Internet, les serveurs de messagerie entrants et sortants, ainsi que les points terminaux dédiés utilisent le chiffrement TLS.
  • Les domaines spécifiques sont protégés avec le chiffrement TLS forcé.
  • Le mécanisme API Standard interdit l'utilisation de cryptage avec signature numérique pour les demandes et réponses sortantes, en plus du chiffrement TLS. La preuve de possession et la minimisation du risque d'attaques MITM sont assurées.
  • Le service de contrôle utilise l'authentification par session pour chaque point de terminaison crypté entre les données sensibles de la base de données, les mots de passe ou les jetons d'accès.

Pare-feux et listes de contrôle d'accès

  • Des pare-feux de couche 3 sont utilisés en interne pour prendre en charge l'implémentation des listes de contrôle d'accès (ACL).
  • Des pare-feux de couche 3 sont utilisés pour contrôler le trafic réseau entre l'internet public et l'organisation.
  • Des pare-feux de couche 7 sont utilisés pour inspecter et contrôler le trafic entre l'internet public et le service de l'organisation.
  • Des ACL réseau sont utilisées pour contrôler la communication entre le réseau, les sites et les environnements cloud de l'organisation.
  • Des ACL système sont utilisées pour contrôler l'accès aux systèmes ou aux objets (ex. objets de stockage).
  • Les ACL sont gérées par des employés autorisés et sont basées sur la description de poste (pour les ACL système) ou sur des architectures réseau préapprouvées (ACL réseau).
  • Les ACL sont révisées à intervalles réguliers (selon la classification) ou lors de changements majeurs.
  • Les ACL sont revues à intervalles réguliers (basés sur la classification) ou lorsque des changements organisationnels se produisent.

Contrôle d'accès logique

  • Le contrôle d'accès logique est implémenté pour tous les systèmes et services au sein de l'organisation.
  • Les autorisations d'accès sont attribuées via un processus d'approbation et sont liées à la description de poste.
  • Les autorisations d'accès sont attribuées selon le principe du moindre privilège.
  • Les autorisations d'accès sont révisées périodiquement en fonction de la classification du système/service.
  • Les autorisations d'accès sont revues périodiquement.
  • Le contrôle d'accès logique est mis en œuvre pour tous les systèmes et services au sein de l'organisation selon le principe du moindre privilège et un processus d'approbation documenté, et sont liés à la description du poste.
  • Les autorisations d'accès sont attribuées selon le principe du moindre privilège.

Journalisation

  • La journalisation centralisée est mise en œuvre pour les applications participant à l'offre de service de paiement de l'organisation.
  • Les enregistrements sont accessibles par les employés autorisés, selon le principe du besoin d'en connaître.
  • Le système de gestion des journaux est administré par des employés habilités.
  • Le système de gestion des journaux génère des alertes basées sur des critères prédéfinis.

Gestion des appareils mobiles (MDM)

  • L'organisation met en œuvre une solution MDM pour les terminaux (ordinateurs de bureau, portables, smartphones et tablettes), couvrant à la fois les employés et les consultants longue durée au sein de l'organisation.
  • La solution MDM contrôle qui a accès à chaque terminal grâce à l'accès conditionnel et l'authentification à deux facteurs.
  • La solution MDM gère les paramètres des terminaux comme les applications autorisées, ainsi que les paramètres de sécurité tels que le chiffrement et les informations de connexion.
  • La solution MDM contrôle les mises à jour des terminaux comme celles du système d'exploitation et des applications qui peuvent être poussées vers des appareils spécifiques selon les besoins.
  • La solution MDM peut être utilisée pour verrouiller ou effacer à distance les terminaux égarés.
  • La solution MDM est gérée par des employés autorisés.

Authentification multifactorielle

  • L'organisation met en œuvre l'authentification multifactorielle (MFA) tant pour les services fournis que pour ceux consommés par l'organisation.
  • L'organisation implémente plusieurs approches de MFA basées sur la classification des systèmes/services/données:
    1. MFA par jeton matériel
    2. Certificats d'appareil
    3. Certificats utilisateur
    4. MFA par jeton logiciel (comme TOTP)
    5. MFA par SMS

Mises à jour logicielles régulières

Les mises à jour de sécurité sont installées automatiquement.

Signature du code source

Les modifications du code source sont cryptographiquement signées par le développeur à l'aide de GPG avec une clé privée sur des HSM personnels.

Outils de détection des vulnérabilités

  • L'organisation met en œuvre un programme de gestion des vulnérabilités pour les actifs et services internes et exposés publiquement.
  • L'organisation déploie un scanner de vulnérabilités du code source.
  • L'organisation effectue une évaluation hebdomadaire des vulnérabilités des actifs et services internes et exposés publiquement, où les vulnérabilités sont hiérarchisées selon leur gravité.

Contrôles de sécurité organisationnels

Politiques d'utilisation acceptable (AUP)

L'organisation publie des Politiques d'utilisation acceptable (AUP) pour ses systèmes/services internes et informe les employés/contractants concernés lorsque des changements surviennent.

Sensibilisation et formation

L'organisation propose une formation obligatoire pour tous les employés et contractants dans les domaines suivants:

  • Sécurité de l'information
  • Protection des données personnelles
  • Gestion des risques
  • Conformité
  • Lutte contre le blanchiment d'argent

Plans de continuité d'activité

L'organisation met en œuvre plusieurs activités de continuité:

  • Planification de la gestion de crise
  • Planification de la continuité d'activité
  • Planification de la reprise après sinistre

Gestion des changements

L'organisation met en œuvre la gestion des changements conformément au processus ITIL.

Accords de traitement des données (DPA)

L'organisation met en place des accords concernant le traitement des données lorsque des données personnelles sont échangées entre l'organisation et des tiers.

Plans de réponse aux incidents

  • L'organisation implémente un programme de gestion des incidents conçu pour maximiser la disponibilité des services et minimiser les perturbations pour l'organisation et ses partenaires.
  • Le programme de gestion des incidents est administré par le département de Gestion des Services.

Tests d'intrusion

  • L'organisation effectue des tests d'intrusion annuellement ou lors de changements majeurs.
  • Les tests d'intrusion sont réalisés par des entreprises de sécurité reconnues et établies.
  • L'organisation partage le rapport de vérification post-test d'intrusion avec des tiers sur demande.

Politiques de mot de passe

  • L'organisation met en œuvre une politique de base pour les mots de passe applicable à tous les systèmes/services.
  • Chaque responsable de système/service peut choisir d'aller au-delà du niveau de base défini.
  • La politique de base pour les mots de passe est définie comme suit:
    1. Longueur minimale: 10 caractères
    2. Complexité: obligatoire
    3. 2FA/MFA: obligatoire (lorsque possible)

Locaux sécurisés

  • L'organisation fournit ses services par l'intermédiaire de fournisseurs de services cloud reconnus (ex. AWS, GCP) et de centres de données en colocation.
  • L'accès aux centres de données en colocation est strictement limité à un petit nombre d'employés autorisés.

Cycle de développement sécurisé (SDL)

L'organisation met en œuvre un modèle de Cycle de développement sécurisé (SDL) pour les services/produits développés en interne.

Mise au rebut sécurisée

L'organisation met en œuvre une mise au rebut sécurisée tant pour les terminaux que pour les appareils offrant le service de production.

Revues de code source et déploiement

L'organisation applique le principe des quatre yeux pour la séparation des tâches concernant la plupart des modifications du code source.

Évaluation des fournisseurs

L'organisation met en œuvre un processus continu pour évaluer les fournisseurs introduits tant pour la production que pour la productivité.

Vous avez détecté une faille de sécurité ?

Nous prenons la sécurité très au sérieux. Si vous avez découvert une faille de sécurité, n'hésitez pas à nous contacter.

Signaler un problème