La sécurité chez Adyen
Nous nous engageons à protéger vos données à caractère personnel et avons mis en place des mesures pour le faire efficacement. Afin d’éviter que des personnes ou des parties non autorisées puissent accéder à vos données, nous avons mis en place une série de mesures techniques et organisationnelles pour protéger et sécuriser les données que nous traitons à votre sujet. Il s'agit notamment de :
1. Programme, politiques et personnel en matière de sécurité :
Nous avons mis en place un programme de sécurité de l'information afin d'identifier les risques et de mettre en œuvre des contrôles appropriés. Ce programme est revu régulièrement pour en garantir l'efficacité et l'exactitude. Nous disposons d'une équipe de sécurité de l'information à plein temps chargée de contrôler, de maintenir et de renforcer continuellement notre sécurité. Nous disposons de politiques et de procédures appropriées et efficaces en matière de sécurité de l'information, qui sont essentielles pour nous permettre de nous conformer aux règlements en vigueur.
2. Audits et certifications :
Nous nous soumettons à une vérification indépendante de nos contrôles en matière de sécurité et de conformité pour nous aider à satisfaire aux objectifs et politiques réglementaires. Les audits tiers indépendants actuels concernant la sécurité de l'information d'Adyen sont entre autres les suivants :
a. Payment Card Industry Data Security Standard (PCI-DSS)
La norme PCI DSS est un ensemble de lignes directrices relatives à la sécurité de l'information et aux meilleures pratiques commerciales visant à établir une « norme de sécurité minimale » pour protéger les informations relatives aux cartes de paiement des clients. Adyen est soumis au moins une fois par an à un audit tiers afin de certifier que notre produit et notre plateforme de paiement sont conformes à la norme PCI-DSS.
b. Contrôles des systèmes et organisationnels 2 (SOC 2) Type 2
Le SOC 2 est un rapport basé sur les critères existants des Trust Services Criteria (« Critères de fiabilité des services ») (TSC) de l'Auditing Standards Board (« Conseil des normes d'audit ») de l'American Institute of Certified Public Accountants (« l'Institut américain des experts-comptables ») (AICPA). L'objectif de ce rapport est d'évaluer les systèmes d'information d'Adyen en matière de sécurité, de disponibilité, de confidentialité et de respect de la vie privée. Adyen est soumis au moins une fois par an à un audit tiers afin de rendre compte du caractère approprié de la conception et de l'efficacité opérationnelle de nos contrôles.
3. Contrôle d'accès et gestion des privilèges :
Nous réservons l'accès administratif à nos systèmes de production au personnel autorisé. Lorsque nous les engageons, nos collaborateurs autorisés se voient attribuer des identifiants et des références uniques. En cas de licenciement de membres du personnel autorisé ou lorsque nous soupçonnons que ces références sont compromises, l'accès administratif est révoqué. Les droits et les niveaux d'accès sont basés sur la fonction et le rôle de nos employés, ainsi que sur les concepts de sécurité du « moindre privilège » et du « besoin de savoir », afin de garantir que les privilèges d'accès correspondent aux responsabilités définies.
4. Chiffrement [VU1] des données :
Nous chiffrons[VU2] les données, également lors de leur transmission avec nos interfaces utilisateurs ou nos API (en utilisant TLS ou des technologies similaires) sur l'internet.
5.Surveillance de la sécurité et intervention en cas d'incidents :
Nous disposons d'un processus de gestion des incidents pour les événements liés à la sécurité, susceptibles d'avoir un impact sur la confidentialité, l'intégrité ou la disponibilité de nos systèmes ou de nos données. Ce processus comprend des délais d'intervention définis pour qu'Adyen notifie les parties concernées. Ce processus décrit des lignes d'action, des procédures de notification, d'intensification, d'atténuation et de documentation. Le programme d'intervention en cas d'incidents comprend des systèmes de surveillance centralisés 24 heures sur 24 et 7 jours sur 7, ainsi que du personnel disponible sur appel pour intervenir en cas d'incidents liés à la sécurité.
6. Sécurité physique :
Sur nos sites physiques, tels que les centres de données, des contrôles sont prévus pour empêcher tout accès physique non autorisé. Il s'agit notamment de : Points de contrôle de sécurité, authentification par badge (ou biométrique), enregistrement obligatoire des visiteurs et vidéosurveillance.
7. Gestion et sécurité des réseaux :
Nous maintenons une architecture de réseau sécurisée et conforme aux normes de l'industrie, s'appuyant sur une largeur de bande raisonnablement suffisante et une infrastructure de réseau redondante afin d'atténuer l'impact de toute défaillance d'un composant individuel. Notre équipe de sécurité utilise des utilitaires conformes aux normes de l'industrie pour se défendre contre les activités courantes et non autorisées du réseau, surveiller les listes de suggestion de sécurité pour détecter les vulnérabilités, et procéder régulièrement à des analyses et à des audits externes des vulnérabilités.
8. La sécurité de notre processus de développement
Nos produits et notre plateforme de paiement sont conçus et développés en tenant compte des pratiques de sécurité et de confidentialité définies par l'industrie. Nous appliquons un cycle de vie du développement de produits documenté, connu sous le nom de Secure Software Development Lifecycle (« Cycle de vie sécurisé de développement de logiciels ») (SSDLC), selon des principes de développement formels.