Tous les détails concernant la sécurité
Données de paiement sécurisées
Conformité PCI de niveau 1
Les systèmes de traitement des cartes sont conformes aux normes de sécurité des données PCI (PCI-DSS), niveau 1.
Meilleures pratiques de codage
Le développement Web respecte les consignes de codage sécuritaire conformes aux normes de l’industrie, comme celles qui sont recommandées par l’OWASP.
Mises à jour de sécurité systématiques
Les mises à jour et les correctifs de sécurité sont installés sur les serveurs et les équipements en temps opportun.
Stockage de données conforme
Square interdit le stockage des numéros de carte, des données de bande magnétique et des codes de sécurité sur les appareils des clients.
Contrôles cryptographiques robustes
Au moment des transferts de données, Square utilise les protocoles de chiffrement et les formats de message de référence sur le marché (comme SSL/TLS et PGP).
Matériel sécurisé
Square intègre la sécurité à chaque aspect de ses produits. Ils sont tous équipés du chiffrement de bout en bout. Vous évitez ainsi les longues procédures de sécurité qui recèlent un potentiel d’erreurs. Nous n’externalisons aucun élément essentiel de sécurité des produits à des fournisseurs ou services tiers, que nous ne pourrions contrôler. Square conçoit tous ses éléments de sécurité, les crée et en assure la maintenance à l’interne.
Livraison du produit allégée
Les équipes de sécurité sont à pied d’œuvre à chaque étape de la livraison du produit. Square dispose d’équipes dédiées qui sont affectées à la mise en œuvre des meilleures pratiques de sécurité à chaque étape de fabrication de tous nos produits, de la conception du matériel et du logiciel jusqu’à la chaîne d’approvisionnement, aux opérations et à la maintenance continues des serveurs.
Transfert d’information sécurisé
Toutes les données sensibles sont chiffrées en transit et en stockage. Nous ne permettons pas aux serveurs de se connecter à Square à moins qu’un protocole de chiffrement SSL ou TLS soit correctement établi et configuré.
Philosophie axée sur l’ingénierie
Ce sont des ingénieurs, non des administrateurs qui composent nos équipes de sécurité. Tous nos outils exclusifs de sécurité de l’information sont d’une simplicité qui favorise leur adoption et sont conçus pour faciliter la tâche à vos ingénieurs, ainsi que pour mieux protéger les données et les biens de nature délicate. Nos ingénieurs supervisent tous les éléments essentiels que voici et en assurent la maintenance :
- Gestion de connexion
- Surveillance de plateforme et de réseau
- Gestion d’identité et d’accès
- Sécurité d’application et de matériel
- Gestion de cryptographie et de clé
Organisation sécurisée
Tests de pénétration
Nous testons en permanence nos applications, notre infrastructure et nos plans d’intervention en cas d’incident. Nous avons souvent recours à des laboratoires de mise à l’essai afin qu’ils tentent de compromettre la sécurité des secteurs que nous voulons éprouver.
Renseignements sur la menace
Nous nous appuyons sur des groupes sectoriels et gouvernementaux tels que l’ECTF et le FS-ISAC pour demeurer au courant des nouvelles menaces, des réseaux frauduleux et de l’évolution de notre écosystème.
Chercheur de bogue public
En plus des essais de pénétration que nous planifions, des chercheurs de bogues au sein de la population évaluent chaque jour la sécurité de Square. Nous avons émis une invitation mondiale aux testeurs de sécurité du monde entier. Ils peuvent essayer en tout temps de déceler d’éventuelles vulnérabilités, en échange d’une prime. Si vous cherchez des bogues et croyez avoir découvert une vulnérabilité, veuillez la signaler sur notre page Bugcrowd.
Analyses de conception du code
Nous avons configuré l’analyse automatique du code source de Square afin qu’elle relève les faiblesses. Lorsque nous rédigeons un nouvel élément de code, nous mettons en œuvre un processus de contrôle de la qualité à déclenchement périodique et des épreuves préparatoires avant sa mise en production. Tout au long du processus, des tests automatiques sondent le nouvel élément de code à la recherche de brèches de sécurité.
Gouvernance de la sécurité de l’information
Nous nous engageons à respecter les normes les plus élevées en matière de gouvernance de la sécurité de l’information afin de faire preuve de leadership dans notre secteur. C’est pourquoi nous avons soumis notre système de gestion de la sécurité de l’information à une validation externe et avons obtenu la célèbre certification ISO 27001. Nous continuons à nous appuyer sur ces éléments pour assurer nos commerçants et nos partenaires de notre engagement à sécuriser chaque aspect de nos produits et services.
Sécurité interne
- Les données sensibles, telles que les données d’application et les clés cryptographiques, sont contrôlées de manière stricte selon le principe d’accès sélectif.
- Pour l’accès administratif aux systèmes, Square exige une authentification en deux temps et des contrôles de mot de passe rigoureux.
- Tout accès aux données et aux services sécurisés est consigné, et les journaux de vérification sont contrôlés régulièrement.
Réduction des coûts de conformité
Il vous en coûte cher d’assurer vous-même votre conformité et même si vous le faites, il y a un risque qu’une entreprise moyenne devienne non conforme une fois tous les neuf mois. Square veille à votre conformité. Nous effectuons des audits et des auto-évaluations, des analyses de vulnérabilité, nous concevons des formation et rédigeons des politiques, et nous proposons des correctifs pour réduire la liste des questions épineuses à régler. Contrairement aux autres entreprises dans le domaine du traitement des paiements, nous n’exigeons aucuns frais mensuels, annuels ou réglementaires.
| Pour les petites entreprises | Pour les grandes entreprises | Entreprise Square | |
|---|---|---|---|
| SAQ ou audit PCI DSS | De 50 $ à 200 $ pour le questionnaire d’auto-évaluation (SAQ) | Env. 40 000 $+ pour audit sur le site et 5 000 $+ pour le test de pénétration | 0 $ |
| Analyse des vulnérabilités | De 100 $ à 200 $ par adresse IP | Env. 800 $+ | 0 $ |
| Conception de la formation et de la politique | Env. 70 $ par employé | Env. 5 000 $+ | 0 $ |
| Réhabilitation (incluant mises-à-jour logicielles et matérielles, etc.) | Env. 100 $ à 10 000 $ pour les petites entreprises | Env. 10 000 $ à 500 000 $ | 0 $ |
Suite de sécurité complète
Les contrôles de sécurité et les processus techniques qui forment le programme de sécurité de Square sont vérifiés par des tierces parties externes.
- SSAE-16 SOC1 et SOC2
- PCI DSS de niveau 1
- PA-DSS
- Sécurité de transaction PCI NIP
- Installation d’injection de clé PCI NIP
- EMV niveau 1 et niveau 2
- Licences de transferts de fonds US
- Être au courant de la conformité de ses clients
- Prêt pour Visa
- Gestion de la qualité Mastercard MPOS et Mastercard Terminal
- Association de cartes G.-B. / Audit à critères communs
- Conformité aux lois sur la lutte contre le blanchiment d’argent
Pionniers de la conformité
Professionnels de la conformité
Square emploie une équipe de professionnels de la conformité dévoués dont la tâche consiste à surveiller les changements dans le secteur des cartes de paiement et à conseiller les équipes d’ingénieurs tout au long du cycle de conception de nos solutions.
Revendication réglementaire
Notre société siège au Conseil d’administration PCI et influence le développement continu des normes de sécurité PCI. Nous sommes donc bien positionnés pour défendre vos droits au cours de nos échanges avec les responsables de la réglementation. Nous sommes des pionniers dans l’utilisation de la saisie du NIP à base de logiciel et collaborons avec le secteur du paiement et le Conseil d’administration PCI tout au long du processus de développement d’une nouvelle norme mondiale.