Politique de Securite

La securite constitue une priorite absolue pour Kalisso SAS (ci-apres « KPay »). En tant que plateforme de paiement operant dans la zone CEMAC, KPay s'engage a proteger les donnees et les actifs financiers de ses marchands et de leurs clients selon les normes les plus strictes du secteur.

Le cadre de securite de KPay repose sur les principes suivants :

• Defense en profondeur : multiples couches de securite a chaque niveau de l'infrastructure.
• Moindre privilege : chaque utilisateur et systeme ne dispose que des acces strictement necessaires a ses fonctions.
• Securite par conception : la securite est integree des la phase de conception de chaque fonctionnalite.
• Amelioration continue : evaluation et mise a jour regulieres des mesures de securite.

Chiffrement en transit

Toutes les communications entre les clients, les marchands et la Plateforme KPay sont chiffrees via TLS 1.3 (Transport Layer Security). Les versions anterieures de TLS (1.0, 1.1) sont desactivees. Les suites de chiffrement faibles sont exclues.

Chiffrement au repos

Les donnees sensibles stockees dans nos bases de donnees sont chiffrees avec AES-256 (Advanced Encryption Standard). Cela inclut :

• Les donnees d'identification personnelle
• Les coordonnees bancaires et de compte Mobile Money
• Les cles API et tokens d'authentification
• Les logs d'audit contenant des informations sensibles

Gestion des cles

Les cles de chiffrement sont gerees via un systeme de gestion de cles (KMS) dedie, avec rotation automatique tous les 90 jours. Les cles maitresses sont stockees dans des modules de securite materiel (HSM).

Authentification des marchands

• Authentification multi-facteurs (MFA) obligatoire pour l'acces au tableau de bord marchand.
• Politique de mots de passe stricte : minimum 12 caracteres, incluant majuscules, minuscules, chiffres et caracteres speciaux.
• Verrouillage du compte apres 5 tentatives de connexion echouees.
• Expiration automatique des sessions apres 30 minutes d'inactivite.

Authentification API

• Authentification par tokens OAuth 2.0 (via Laravel Passport) et tokens API (via Sanctum).
• Limitation du taux de requetes (rate limiting) pour prevenir les abus.
• Cles API avec permissions granulaires et dates d'expiration.
• Liste blanche d'adresses IP configurable pour les environnements de production.

Controle d'acces interne

• Modele de controle d'acces base sur les roles (RBAC) pour les employes de KPay.
• Revue trimestrielle des droits d'acces.
• Journalisation de toutes les actions privilegiees.

KPay est conforme au standard PCI DSS (Payment Card Industry Data Security Standard) pour le traitement des donnees de carte bancaire.

Mesures PCI DSS implementees

• Tokenisation : les numeros de carte bancaire ne sont jamais stockes en clair sur nos serveurs. Toutes les donnees de carte sont tokenisees via Stripe.
• Segmentation reseau : l'environnement de traitement des cartes est isole du reste de l'infrastructure.
• Surveillance : monitoring continu de l'environnement de donnees de carte (CDE).
• Scan de vulnerabilites : analyses trimestrielles par un prestataire certifie ASV (Approved Scanning Vendor).

KPay maintient un SAQ (Self-Assessment Questionnaire) PCI DSS a jour et se soumet a un audit annuel par un QSA (Qualified Security Assessor) independant.

En complement de la Politique de Confidentialite, KPay met en oeuvre les mesures de protection suivantes :

• Classification des donnees : toutes les donnees sont classifiees selon leur sensibilite (publiques, internes, confidentielles, tres confidentielles).
• Prevention des fuites : systeme DLP (Data Loss Prevention) pour detecter et bloquer les transferts non autorises de donnees sensibles.
• Anonymisation : les donnees utilisees pour les analyses et les tests sont anonymisees ou pseudonymisees.
• Sauvegardes : sauvegardes chiffrees quotidiennes avec retention de 30 jours. Tests de restauration mensuels.
• Suppression securisee : effacement conforme aux normes NIST SP 800-88 pour les supports de stockage.

KPay dispose d'un plan de reponse aux incidents de securite structure en quatre phases :

1. Detection et signalement

• Surveillance 24/7 des systemes par des outils SIEM
• Alertes automatisees en cas d'activite suspecte
• Canal de signalement dedie pour les marchands

2. Analyse et containment

• Evaluation de la gravite et de l'impact
• Isolation des systemes compromis
• Preservation des preuves numeriques

3. Eradication et restauration

• Suppression de la cause racine
• Restauration des systemes et des donnees
• Verification de l'integrite

4. Post-incident

• Analyse post-mortem detaillee
• Notification aux marchands affectes dans un delai de 72 heures conformement a la reglementation
• Mise a jour des mesures de securite
• Signalement aux autorites competentes si requis (GABAC, CEMAC)

Pour signaler un incident de securite : [email protected] ou +242 06 812 50 05 (ligne d'urgence 24/7).

KPay realise regulierement des evaluations de securite pour identifier et corriger les vulnerabilites :

• Tests de penetration : realises semestriellement par des cabinets de securite independants certifies. Couvrent l'infrastructure, les applications web et les API.
• Scans de vulnerabilites : analyses automatisees hebdomadaires de l'ensemble de l'infrastructure.
• Revue de code : analyse statique de securite (SAST) integree au pipeline de developpement.
• Audit interne : revue trimestrielle des configurations de securite et des acces.
• Programme de bug bounty : programme de divulgation responsable ouvert aux chercheurs en securite (details sur [email protected]).

Les resultats des audits sont documentes et les plans de remediation sont suivis jusqu'a resolution complete.

KPay dispose d'un Plan de Continuite d'Activite (PCA) et d'un Plan de Reprise d'Activite (PRA) pour assurer la resilience de ses services :

• Infrastructure redondante : hebergement multi-zones avec basculement automatique en cas de defaillance.
• RTO (Recovery Time Objective) : 4 heures maximum pour la restauration complete des services critiques.
• RPO (Recovery Point Objective) : 1 heure maximum de perte de donnees acceptable.
• Tests de reprise : exercices de simulation semestriels pour valider l'efficacite du PRA.
• Communication de crise : plan de communication predefini pour informer les marchands en cas d'interruption majeure.

La securite est l'affaire de tous les collaborateurs de KPay. Le programme de formation comprend :

• Formation obligatoire a la securite pour tous les nouveaux employes.
• Sessions de sensibilisation trimestrielles sur les menaces actuelles (phishing, ingenierie sociale, etc.).
• Formation specialisee pour les equipes techniques sur le developpement securise (OWASP Top 10).
• Exercices de simulation de phishing pour evaluer la vigilance des equipes.
• Certification PCI DSS pour les employes ayant acces aux donnees de carte bancaire.

Pour toute question relative a la securite ou pour signaler une vulnerabilite :

• Email securite : [email protected]
• Ligne d'urgence 24/7 : +242 06 812 50 05
• Cle PGP : disponible sur notre page securite pour les communications chiffrees.

KPay s'engage a accuser reception de tout signalement de vulnerabilite dans un delai de 24 heures et a fournir un retour detaille dans les 5 jours ouvrables.