Directives en matière de sécurité de l'information

Introduction

En tant qu'entreprise technologique, Stripe souhaite accroître le PIB d'Internet en créant des plateformes rentables qui prennent en charge le traitement des paiements en ligne. Elle accompagne des entreprises de toutes tailles – des start-up aux sociétés cotées en bourse – qui utilisent ses services pour accepter des paiements et gérer leurs transactions professionnelles en ligne.

Stripe souhaite devenir la plateforme de référence en matière de paiements en ligne. À ce titre, elle traite d'importantes informations relatives à ses utilisateurs et à leurs clients. Pour établir une relation de confiance avec ses utilisateurs, Stripe doit impérativement protéger sa plateforme de services de paiement, ainsi que les données qui y transitent.

Très attachée à la sécurité, Stripe s'engage à créer et maintenir une culture plaçant la sécurité au cœur de ses priorités.

La sécurité chez Stripe

L'engagement de Stripe en matière de sécurité repose principalement sur sa Politique mondiale de sécurité de l'information (la « Politique »), qui énonce les modalités selon lesquelles Stripe entend protéger sa plateforme de services de paiement et les données connexes.

Cette Politique est révisée et validée chaque année par les dirigeants de son service Sécurité de l'information et son conseil d'administration.

La Politique de sécurité de l'information de Stripe comprend les principes fondamentaux de sécurité de l'information suivants :

  • Confidentialité : garantir que les informations ne sont ni consultées ni divulguées à des personnes ou entreprises non autorisées ;
  • Intégrité : garantir que les informations ne font l'objet d'aucune modification majeure, en protégeant leur exactitude et leur intégrité ; et
  • Disponibilité : garantir que les personnes autorisées ont accès aux informations dès qu'elles en ont besoin.

Objectifs

Pour respecter ses objectifs et politiques en matière de sécurité de l'information, Stripe a élaboré un programme solide de sécurité de l'information axé sur ses employés, ses processus et sa plateforme.

Par le biais de son programme de sécurité de l'information, Stripe a mis en place des processus de contrôle pour résoudre les problèmes suivants :

Employés - Tous les employés de Stripe doivent contribuer à la réalisation des objectifs de sécurité de Stripe. Stripe met tout en œuvre pour préparer ses équipes à relever ces attentes en leur proposant des séances de formation et de sensibilisation. Elles ont ainsi pleinement conscience des risques et des incidents de sécurité. Stripe a notamment mis en place : - Des équipes et responsables dédiés à la sécurité de l'information - Un programme de gestion des risques technologiques - Un processus de vérification des antécédents des employés - Un programme de sensibilisation à la sécurité - Des instructions et approches documentées de codage sécurisé

Processus - Stripe a défini des processus métier pour garantir la réalisation de ses objectifs de sécurité de l'information en misant sur une gouvernance de la sécurité, un développement fiable et des opérations de sécurité. Ces processus comprennent les éléments suivants : - Des processus liés aux accès utilisateurs qui prennent en charge les principes de « moindre privilège » - Un manuel de développement formel qui intègre les analyses et les tests de sécurité - Un processus de gestion des vulnérabilités - La protection contre les programmes malveillants - Un processus de surveillance de la sécurité et d'alertes - L'analyse des risques de sécurité liés à des tiers - La gestion et l'intervention en cas d'incidents

Plateforme - L'infrastructure de production de Stripe est conçue pour prendre en charge des systèmes fiables à haute disponibilité. Cela permet de garantir que les services Stripe sont bien protégés et répondent aux exigences de ses clients. La plateforme de Stripe comprend : - Des fournisseurs d'infrastructure en tant que service (IAAS) pour tirer parti des avancées du secteur - Une infrastructure résistante aux sinistres répartie entre plusieurs centres de données - Des processus de développement des systèmes automatisés qui garantissent la sécurité des systèmes créés - La duplication des données - La connectivité du réseau chiffrée en interne et en externe

Conformité en matière de sécurité de l'information

En tant que prestataire de services de traitement des paiements, Stripe est soumise à une multitude de normes réglementaires sectorielles et internationales. Pour gérer aux mieux ces obligations, Stripe applique un programme de conformité en matière de sécurité qui lui permet d'identifier, de suivre et de respecter les différentes exigences qui lui sont imposées. Le programme de conformité en matière de sécurité de Stripe permet d'obtenir et de conserver les certifications tierces, par exemple : - La certification PCI DSS de niveau 1 - Les authentifications SOC2 Type II - La certification obligatoire relative à la cybersécurité (Royaume-Uni)

Les authentifications et certifications en question sont effectuées chaque année, et leurs résultats sont communiqués aux clients de Stripe sur demande.