Foire aux questions

Comment savoir si mon argent est en sécurité?

GoCardless est un Etablissement de Paiement Agréé, autorisé par l’autorité britannique FCA (Financial Conduct Authority) et habilité à prendre des paiements à travers l’Union Européenne. Nous servons plus de 40 000entreprises en Europe.

Votre argent transite dans un compte séquestre sécurisé, dans l’une de nos banques partenaires.

Comment est-ce que GoCardless protège mes données?

La sécurité est d’une importance primordiale à GoCardless. Nous prenons plusieurs mesures pour garantir que vos données sont sécurisées à chaque instant :

• Notre accès au prélèvement SEPA est fourni par les plus grandes banques, qui ont validé l’intégrité de nos systèmes.
• Notre serveurs sont basés en Europe dans des centres de données sécurisé – vos données ne sortent jamais de l’UE.
• Notre serveur de données financières est séparé de notre serveur d’application par de multiples pare-feux.
• Toute communication client-serveur est cryptée par 256 bit SSL. Le standard réglementaire est seulement de 128 bit.

Que faisons-nous de votre argent avant qu’il ne vous soit versé ?

Votre argent transite par un compte séquestre sécurisé, dans l’une de nos banques partenaires, en conformité avec les règles financières.

Mes clients sont-ils protégés ?

Oui, ils sont protégés par les droits à remboursement du consommateur (voir notre rubrique Prélèvement bancaire).

Divulgation des vulnérabilités

La sécurité de nos utilisateurs nous tient particulièrement à cœur. Si vous pensez avoir découvert une vulnérabilité, nous vous demandons de la signaler de façon responsable. Le partage public des vulnérabilités fait courir des risques à l'ensemble de notre base d'utilisateurs, et nous vous invitons par conséquent à préserver la confidentialité des problèmes jusqu'à ce que nous ayons pu les corriger.

Si vous souhaiter tester notre service à la recherche des vulnérabilités, des rapports sur notre tableau de bord et notre API sont les bienvenus.

Veuillez limiter vos tests à notre environnement Sandbox. Vous pouvez créer un compte Sandbox pour commencer. Notre documentation à l'attention des développeurs vous renseigne sur la façon de configurer un compte.

Signaler un problème

• Veuillez nous envoyer un mail à l'adresse vuln-disc@gocardless.com dès que vous avez connaissance d'un problème. Vous serez invité à signaler le problème via notre programme de divulgation de vulnérabilités.
• Décrivez en détail le problème, y compris les étapes pour le reproduire.
• N’exploitez pas la vulnérabilité, sauf pour démontrer le problème à nos équipes.
• Ne révélez pas le problème avant qu’il soit résolu.

Règles applicables

Lors du signalement de vulnérabilités, veuillez prendre en compte (1) le scénario d'attaque/exploitabilité, et (2) l'impact du bogue sur la sécurité. Les problèmes suivants sont considérés comme hors champ :

• Attaques par déni de service.
• Ne tentez pas d'accéder à des données d'utilisateur qui ne sont pas les vôtres, et n'essayez pas de les modifier.
• Ne dégradez pas les performances de nos services (par exemple, via des attaques par balayage automatisé, force brute, ou déni de service).
• Attaques d'ingénierie social.
• Attaques physiques ou menaces à l'encontre de notre personnel ou de nos utilisateurs.
• Scénarios techniques qui ne démontrent pas un impact. Par exemple, un outil signalant un chiffrement faible en raison de l'absence de confidentialité persistante parfaite (PFS).