Chez Payt, la sécurité est une priorité absolue. C’est pourquoi nous accordons une attention continue à la protection des données sensibles. Nous faisons régulièrement réaliser des tests de pénétration par des organisations externes professionnelles et intégrons immédiatement les recommandations qui en découlent dans notre logiciel. Nous sommes également fiers de notre certification ISO 27001. Et comme nous accueillons de plus en plus de clients dans le secteur de la santé, nous avons également obtenu la certification spécifique au secteur de la santé en matière de sécurité de l’information : NEN 7510-1:2017+A1:2020 Informatique médicale – Sécurité de l’information dans le secteur de la santé. La preuve que Payt prend très au sérieux la sécurité de vos informations et celles de vos clients et maîtrise bien le processus de sécurité.
Certificat ISO 27001
ISO 27001 est la norme internationale pour le Système de Management de la Sécurité de l’Information (SMSI). Cette norme spécifie les exigences pour établir, mettre en œuvre, exploiter, surveiller, évaluer, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI), dans ce cas notre propre plateforme Payt.
Un audit a été réalisé par LRQA. Les spécialistes de LRQA ont testé et vérifié Payt sur une liste d’exigences et de normes de sécurité de l’information. Suite à ces tests, ils ont conclu que la politique de sécurité de Payt est bien en place.
Hacking Éthique
Malgré l’attention particulière portée à la sécurité des données de nos clients, il peut arriver qu’une intrusion se produise. Nous sommes favorables au concept de hacking éthique et apprécions qu’il soit signalé de manière responsable les vulnérabilités de notre logiciel.
Si vous trouvez une faille dans l’un de nos systèmes, nous aimerions le savoir. Cela nous permet de prendre des mesures le plus rapidement possible. Nous souhaitons collaborer avec vous pour mieux protéger nos clients et nos systèmes.
Nous vous demandons :
- d’envoyer vos constatations par e-mail à security@paytsoftware.com ;
- de ne pas exploiter le problème en téléchargeant par exemple plus de données que nécessaire pour démontrer la faille. Nous vous demandons également de ne pas consulter, supprimer ou modifier les données de tiers ;
- de ne pas partager le problème avec d’autres jusqu’à ce qu’il soit résolu et de supprimer immédiatement toutes les données confidentielles obtenues via la faille après confirmation de la notification ;
- de ne pas utiliser d’attaques sur la sécurité physique, d’ingénierie sociale, de déni de service (distribué), de spam ou d’applications tierces ;
- de fournir suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. En général, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais pour des vulnérabilités plus complexes, il se peut que nous vous demandions plus d’informations.
Ce que nous promettons :
- Nous traitons votre notification avec la plus grande priorité et répondons à votre notification dans un délai maximum de trois jours. Dans cette réponse, vous pouvez vous attendre à une évaluation de la notification et à une date prévue pour une solution.
- Si vous respectez les conditions ci-dessus, nous n’engagerons aucune poursuite judiciaire contre vous concernant la notification.
- Nous traitons votre notification de manière confidentielle et ne partageons pas vos données personnelles sans votre consentement avec des tiers, sauf si cela est nécessaire pour respecter une obligation légale.
- Nous vous tenons informé de l’avancement de la résolution du problème.
- Dans les communications concernant le problème signalé, nous mentionnons, si vous le souhaitez, votre nom en tant que découvreur.
- En fonction de l’impact de la vulnérabilité, nous proposons une compensation financière (bug bounty).
- Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible et nous souhaitons être impliqués dans une éventuelle publication sur le problème une fois qu’il est résolu.