Directives en matière de sécurité de l'information

Introduction

En tant qu'entreprise technologique, Stripe souhaite accroître le PIB d'Internet en créant des plateformes rentables qui prennent en charge le traitement des paiements en ligne. Elle accompagne des entreprises de toutes tailles – des jeunes entreprises aux sociétés cotées en bourse – qui utilisent ses services pour accepter des paiements et gérer leurs transactions professionnelles en ligne.

Stripe souhaite devenir la plateforme de référence en matière de paiements en ligne. À ce titre, elle traite d'importantes informations relatives à ses utilisateurs et à leurs clients. Pour établir une relation de confiance avec ses utilisateurs, Stripe doit impérativement protéger sa plateforme de services de paiement, ainsi que les données qui y transitent.

Très attachée à la sécurité, Stripe s'engage à créer et maintenir une culture plaçant la sécurité au cœur de ses priorités.

La sécurité chez Stripe

L'engagement de Stripe en matière de sécurité repose principalement sur sa Politique mondiale de sécurité de l'information (la « Politique »), qui énonce les modalités selon lesquelles Stripe entend protéger sa plateforme de services de paiement et les données connexes.

Cette Politique est révisée et validée tous les ans par les dirigeants de son service Sécurité de l'information et son conseil d'administration.

La Politique de sécurité de l'information de Stripe comprend les principes fondamentaux de sécurité de l'information suivants :

  • Confidentialité : garantir que les informations ne sont ni consultées ni divulguées à des personnes ou entreprises non autorisées;
  • Intégrité : garantir que les informations ne font l'objet d'aucune modification indue, en protégeant leur exactitude et leur intégrité; et
  • Disponibilité : garantir que les personnes autorisées ont accès aux informations chaque fois qu'elles en ont besoin.

Objectifs

Pour respecter ses objectifs et politiques en matière de sécurité de l'information, Stripe a élaboré un programme solide de sécurité de l'information axé sur ses employés, ses processus et sa plateforme.

Par le biais de son programme de sécurité de l'information, Stripe a mis en place des processus de contrôle couvrant les aspects suivants :

Employés - Tous les employés de Stripe doivent contribuer à la réalisation des objectifs de sécurité de Stripe. Stripe met tout en œuvre pour préparer ses équipes à satisfaire ces attentes en leur proposant des séances de formation et de sensibilisation. Elles ont ainsi pleinement conscience des risques et des incidents de sécurité. Stripe a notamment mis en place :
- Des équipes et responsables attitrés à la sécurité de l'information
- Un programme de gestion des risques technologiques
- Un processus de vérification des antécédents des employés
- Un programme de sensibilisation à la sécurité
- Des instructions et approches documentées de codage sécurisé

Processus - Stripe a défini des processus opérationnels pour garantir la réalisation de ses objectifs de sécurité de l'information en misant sur une gouvernance de la sécurité, un développement fiable et des opérations de sécurité. Ces processus comprennent les éléments suivants :
- Des processus d'accès des utilisateurs qui appliquent le principe du droit d'accès minimal
- Un manuel de développement officiel qui intègre les analyses et les tests de sécurité
- Un processus de gestion des vulnérabilités
- La protection contre les programmes malveillants
- Un processus de surveillance de la sécurité et d'alerte
- L'analyse des risques de sécurité liés à des tiers
- La gestion des incidents et l'intervention en cas d'incident

Plateforme - L'infrastructure de production de Stripe est conçue pour prendre en charge des systèmes fiables à haute disponibilité. Cela permet de garantir que les services Stripe sont bien protégés et répondent aux exigences de ses clients. La plateforme de Stripe comprend :
- Des fournisseurs d'infrastructures-services pour tirer parti des avancées du secteur
- Une infrastructure résistante aux sinistres répartie entre plusieurs centres de données
- Des processus de développement des systèmes automatisés qui garantissent la sécurité des systèmes créés
- La duplication des données
- La connectivité du réseau chiffrée en interne et en externe

Conformité en matière de sécurité de l'information

En tant que prestataire de services de traitement des paiements, Stripe est soumise à une multitude de normes réglementaires sectorielles et internationales. Pour gérer aux mieux ces obligations, Stripe applique un programme de conformité en matière de sécurité qui lui permet d'identifier, de suivre et de respecter les différentes exigences qui lui sont imposées. Le programme de conformité en matière de sécurité de Stripe permet d'obtenir et de conserver des certifications tierces, par exemple :
- La certification PCI DSS de niveau 1
- Les authentifications SOC2 Type II
- La certification obligatoire relative à la cybersécurité (Royaume-Uni)

Les authentifications et certifications en question sont renouvelées tous les ans, et leurs résultats sont communiqués aux clients de Stripe à leur demande.