Chiffrement bout-en-bout, isolation par tenant, journalisation complète, et un programme de divulgation responsable ouvert.
TLS 1.3 en transit, AES-256 au repos. Les données sensibles (PAN, CVV) ne touchent jamais nos systèmes : elles sont tokenisées directement par Stripe via PCI DSS SAQ-A.
MFA obligatoire sur la console, SSO SAML disponible en palier Maison, rotation des clés API, sessions courtes, journalisation complète des accès.
Multi-tenant logique avec séparation stricte au niveau des requêtes. Aucun partage de cache, aucun fuite cross-tenant possible par construction.
Journalisation 12 mois, métriques temps réel, alertes anomalie. Tout événement de sécurité génère une trace immuable et un ticket d'incident.
Tous les événements webhook sont signés HMAC SHA-256 avec horodatage. Vérification fournie par les SDK officiels, anti-replay intégré.
Tests de pénétration annuels par tiers indépendant. Programme de divulgation responsable ouvert et récompensé.
Vue d'ensemble des mesures techniques et organisationnelles en place.
| Domaine | Mesure | Statut |
|---|---|---|
| Chiffrement en transit | TLS 1.3, HSTS, certificats publics | En place |
| Chiffrement au repos | AES-256, clés gérées par KMS | En place |
| Conformité PCI | SAQ-A (tokenisation Stripe Elements) | Attestée |
| MFA | TOTP obligatoire, WebAuthn supporté | En place |
| SSO SAML | Palier Maison | Disponible |
| Sauvegardes | Quotidiennes, chiffrées, testées trimestriellement | En place |
| PRA / PCA | RPO 1 h, RTO 4 h, tests semestriels | En place |
| Pentest annuel | Tiers indépendant, rapport disponible sous NDA | Programmé |
| Divulgation responsable | contact@maxiopak.com, safe harbor | Ouvert |
| Journaux de sécurité | Rétention 12 mois, immuables | En place |
| Procédure d'incident | Notification < 72 h, post-mortem public | Documentée |
| Formation | Sensibilisation annuelle, simulations phishing | En place |
Vous pensez avoir trouvé une vulnérabilité ? Nous accueillons les chercheurs en sécurité de bonne foi. Tant que vos tests respectent notre périmètre, restent proportionnés et ne portent pas atteinte aux données de nos clients, vous bénéficiez d'un safe harbor.
Envoyez votre rapport à contact@maxiopak.com, avec une preuve de concept reproductible. Réponse sous 48 h, primes étudiées au cas par cas.
Soumettre un rapport →