Square

Sécurité

La sécurité, notre priorité

Notre conception de la sécurité englobe votre protection et celle de vos clients. Nous surveillons chaque transaction du début à la fin, cherchons toujours de nouveaux moyens pour enrayer la fraude et protégeons vos données comme s’il s’agissait des nôtres – parce que c’est notre réussite commune qui en dépend. Nous nous conformons en tous points aux normes de l’industrie pour la gestion de notre réseau, la sécurité de nos applications clients et Web et l’établissement de nos politiques d’entreprise.

Un système fiable pour vos clients et vous

Square permet de réaliser des transactions de manière simple et sécuritaire en mettant à la portée des commerçants des technologies et des outils de contrôle auparavant réservés aux grandes entreprises.

Square chiffre les transactions au moment où la carte est glissée dans le lecteur et segmente les données une fois celles-ci dans nos serveurs. Nous surveillons le traitement de chaque transaction dans notre logiciel. Nous veillons sur votre argent jusqu’à ce qu’il soit déposé dans votre compte bancaire.

Par ailleurs, nous contrôlons chaque transaction pour détecter tout comportement suspect dès que la carte est glissée dans le lecteur. Ces points de contrôle permettent à nos algorithmes de déceler et de bloquer toute activité malveillante ou suspecte. Nous assurons votre sécurité et celle de vos clients à chaque étape du processus.

Partenaires de sécurité

En sa qualité de vendeur officiel, Square déploie tous les efforts nécessaires pour protéger vos affaires. Nous traitons avec les institutions financières en votre nom et gérons les aspects touchant la conformité, la règlementation et le traitement afin que vous puissiez vous concentrer pleinement sur l’exploitation de votre entreprise. Nous assurons toujours vos arrières en cas de litige et faisons le nécessaire pour acheminer vos paiements vers votre compte bancaire de façon rapide et sécurisée. Square se charge de tout ou presque... vous n’avez qu’à glisser la carte.

La sécurité à tous les niveaux

Les systèmes de traitement des cartes sont conformes aux normes de sécurité des données PCI (PCI-DSS).

Prévention de la fraude en amont

Nous prévenons la fraude au moyen de programmes de surveillance qui analysent les transactions en temps réel. Cette approche de visualisation du risque nous permet de détecter et de vérifier toute activité suspecte avant même qu’une transaction frauduleuse ait lieu. Grâce à cette méthode innovante, non seulement les commerçants sont protégés, mais le système automatisé permettant de détecter les activités suspectes s’adapte à notre croissance.

La force du nombre

Nous avons conçu Square de façon à ce que sa force suive sa courbe de croissance. Ainsi, plus le nombre d’utilisateurs grandit, plus l’ensemble de données à analyser est grand et meilleurs sont nos algorithmes de lutte contre la fraude. Par comparaison, si une autoroute n’était utilisée qu’occasionnellement, il serait difficile de distinguer les véhicules qui dépassent la limite de vitesse de ceux qui la respectent. Par contre, sur une autoroute où la circulation est dense, il est facile de repérer le chauffard qui se faufile entre les voitures. De la même manière, les clients de Square permettent à nos systèmes exclusifs de déceler facilement les agissements suspects.

Données, serveurs et réseau hautement sécurisés

Le réseau et les serveurs de Square sont hébergés dans une installation sécurisée, surveillée en tout temps par une équipe de sécurité dédiée.

  • Les systèmes de traitement des cartes sont conformes aux normes de sécurité des données PCI (PCI-DSS).
  • Lorsque des données confidentielles sont stockées sur disque ou transmises par l’entremise de réseaux publics, Square exige qu’elles soient chiffrées en utilisant des méthodes standard de l’industrie.
  • Lors du transfert de données, Square utilise des protocoles de chiffrement et des formats de message standard et bien établis (comme SSL et PGP).
  • Square exige des clés de chiffrement d’au moins 128 bits. Les clés asymétriques doivent être d’au moins 2 048 bits.
  • Square effectue régulièrement des mises à jour de sécurité et des installations de correctifs sur ses serveurs et son équipement.
  • Les paramètres de sécurité des applications et appareils sont réglés de manière à assurer un niveau de protection optimal.
  • Les réseaux sont cloisonnés de manière étanche en fonction de leur niveau de sécurité. Des pare-feu modernes et restrictifs protègent toutes les connexions entre les réseaux.
Sécurité des applications clients et Web

Les logiciels de Square sont conçus conformément aux standards de qualité de l’industrie.

  • Les systèmes de traitement des cartes sont conformes aux normes de sécurité des données PCI (PCI-DSS) de niveau 1.
  • Square interdit le stockage des numéros de carte, des données de bande magnétique et des codes de sécurité sur les appareils des clients.
  • Les applications développées en interne sont assujetties à de rigoureux essais de qualité et évaluations de sécurité.
  • Le développement Web respecte les consignes de codage sécuritaire standard de l’industrie, comme celles qui sont recommandées par l’OWASP.
Sécurité organisationnelle

Les employés de Square sont tenus de se conformer aux politiques de sécurité internes visant la protection des données des commerçants.

  • Lorsque des données confidentielles sont stockées sur disque ou transmises par l’entremise de réseaux publics, Square exige qu’elles soient chiffrées en utilisant des méthodes standard de l’industrie.
  • Square contrôle l’accès aux données confidentielles, aux données d’application et aux clés de chiffrement.
  • Pour l’accès administratif aux systèmes, une authentification en deux temps et des contrôles de mot de passe rigoureux sont requis.
  • Les systèmes et processus de sécurité sont testés régulièrement par des équipes internes et externes compétentes.
  • Les accès aux données et aux services sécurisés sont rigoureusement journalisés. De plus, les journaux sont vérifiés régulièrement.
  • Les politiques et directives de sécurité sont soigneusement documentées et vérifiées régulièrement.
  • Des plans détaillés de réaction aux incidents ont été mis en place afin d’assurer la protection adéquate des données en cas d’urgence.
Recherche et divulgation

Square reconnaît les contributions importantes apportées par les utilisateurs et la communauté de recherche sur la sécurité. Nous encourageons le signalement responsable des problèmes éprouvés avec notre service. Nous reconnaissons également que des chercheurs légitimes et bien intentionnés sont parfois blâmés pour les problèmes qu’ils signalent. Afin d’encourager des pratiques de signalement responsables, nous nous engageons à ne pas entreprendre d’action en justice contre les chercheurs qui signalent un problème, à condition qu’ils :

  • nous transmettent tous les détails du problème décelé;
  • ne divulguent pas le problème à des tiers sans nous accorder une période de temps raisonnable pour corriger la situation;
  • ne tentent pas de nuire à l’expérience d’utilisation ou à l’utilité du service;
  • ne tentent pas de consulter, de modifier ou d’endommager les données appartenant à des tiers;

Si vous croyez avoir décelé un problème, veuillez le signaler sur notre page HackerOne (en anglais). N’hésitez pas à nous écrire à l’adresse security@squareup.com pour toute question.