Foire aux questions

Nos engagements pour la securité chez GoCardless

Comment savoir si mon argent est en sécurité?

GoCardless est un Etablissement de Paiement Agréé, autorisé par l’autorité britannique FCA (Financial Conduct Authority) et habilité à prendre des paiements à travers l’Union Européenne. Nous servons plus de 40 000entreprises en Europe.Votre argent transite dans un compte séquestre sécurisé, dans l’une de nos banques partenaires.

Comment est-ce que GoCardless protège mes données?

La sécurité est d’une importance primordiale à GoCardless. Nous prenons plusieurs mesures pour garantir que vos données sont sécurisées à chaque instant :

• Notre accès au prélèvement SEPA est fourni par les plus grandes banques, qui ont validé l’intégrité de nos systèmes.

• Notre serveur de données financières est séparé de notre serveur d’application par de multiples pare-feux.

• Toute communication client-serveur est cryptée par 256 bit SSL. Le standard réglementaire est seulement de 128 bit.

Que faisons-nous de votre argent avant qu’il ne vous soit versé ?

Votre argent transite par un compte séquestre sécurisé, dans l’une de nos banques partenaires, en conformité avec les règles financières.

Mes clients sont-ils protégés ?

Oui, ils sont protégés par les droits à remboursement du consommateur (voir notre rubrique Prélèvement bancaire).

Divulgation des vulnérabilités

La sécurité de nos utilisateurs nous tient particulièrement à cœur. Si vous pensez avoir découvert une vulnérabilité, nous vous demandons de la signaler de façon responsable. Le partage public des vulnérabilités fait courir des risques à l'ensemble de notre base d'utilisateurs, et nous vous invitons par conséquent à préserver la confidentialité des problèmes jusqu'à ce que nous ayons pu les corriger.Si vous souhaiter tester notre service à la recherche des vulnérabilités, des rapports sur notre tableau de bord et notre API sont les bienvenus.Veuillez limiter vos tests à notre environnement Sandbox. Vous pouvez créer un compte Sandbox pour commencer. Notre documentation à l'attention des développeurs vous renseigne sur la façon de configurer un compte.

Signaler un problème

• Signalez via https://hackerone.com/gocardless/ ou envoyez un e-mail à vuln-disc@gocardless.com dès que vous avez connaissance d'un problème. Vous serez invité à soumettre le problème via notre programme de divulgation des vulnérabilités.

• Décrivez en détail le problème, y compris les étapes pour le reproduire.

• N’exploitez pas la vulnérabilité, sauf pour démontrer le problème à nos équipes.

• Ne révélez pas le problème avant qu’il soit résolu.

Règles applicables

Lors du signalement de vulnérabilités, veuillez prendre en compte (1) le scénario d'attaque/exploitabilité, et (2) l'impact du bogue sur la sécurité. Les problèmes suivants sont considérés comme hors champ :

• Attaques par déni de service.

• Ne tentez pas d'accéder à des données d'utilisateur qui ne sont pas les vôtres, et n'essayez pas de les modifier.

• Ne dégradez pas les performances de nos services (par exemple, via des attaques par balayage automatisé, force brute, ou déni de service).

• Attaques d'ingénierie social.

• Attaques physiques ou menaces à l'encontre de notre personnel ou de nos utilisateurs.

• Scénarios techniques qui ne démontrent pas un impact. Par exemple, un outil signalant un chiffrement faible en raison de l'absence de confidentialité persistante parfaite (PFS).