worldline Direct
S'inscrire

Mesures de sécurité techniques et organisationnelles

1. Portée

La portée de ce document couvre les entités suivantes : les entités de Worldline eCommerce Solutions (WeCS) et Worldline Financial Solutions SA/NV (WFS). Les deux sont ensuite désignées dans le document comme Worldline.

Organisation de la Sécurité de l'Information

Objectif(s) :

Worldline dispose d'un bureau de sécurité de l'information qui a été ratifié et est soutenu par la haute direction, et veille à ce que son personnel de sécurité de l'information soit compétent dans ce domaine. Les mesures incluent :

  • Worldline a établi un bureau de sécurité de l'information avec expertise dans les différents domaines de la sécurité de l'information.
  • Les membres du bureau de sécurité de l'information ont une responsabilité à temps plein pour la sécurité de l'information.
  • Le bureau de sécurité de l'information rapporte directement à un membre de la haute direction de Worldline.
  • Le bureau de sécurité de Worldline a élaboré un ensemble complet de politiques de sécurité de l'information, approuvées par la haute direction et diffusées à tous les travailleurs de Worldline.
  • Les politiques et procédures de sécurité de Worldline sont revues au moins annuellement et mises à jour si nécessaire.
  • Les travailleurs de Worldline reçoivent une formation sur la sécurité de l'information, la conformité et la confidentialité des données et doivent passer un test sur la sécurité de l'information au moins une fois par an.

Système de Gestion de la Sécurité de l'Information

Objectif(s) :

Worldline dispose d'un SGSI (Système de Gestion de la Sécurité de l'Information) pour évaluer les risques de sécurité des données personnelles, gérer l'évaluation et le traitement de ces risques et améliorer continuellement sa sécurité de l'information. Les contrôles de sécurité et les activités sont mis en œuvre dans une approche de gestion quotidienne. Les mesures incluent :

  • Worldline a déployé un SGSI pour gérer la sécurité professionnellement, inspiré et basé sur les meilleures pratiques, cadres et normes du secteur, telles que le standard de sécurité des données de l'industrie des cartes de paiement (PCI DSS), ISO/IEC 27001:2013.

Sécurité de l'Accès Physique

Objectif(s) :

Limitation de l'accès physique aux systèmes et données de Worldline uniquement aux travailleurs autorisés de Worldline. Les mesures incluent :

  • La plateforme de paiement est hébergée dans un centre de données professionnel avec un périmètre physique défini et protégé, des contrôles physiques rigoureux incluant des mécanismes de contrôle d'accès, des zones de livraison et de chargement contrôlées, surveillance et des gardes 24x7x365.
  • Le centre de données de production et ses équipements sont protégés physiquement contre les catastrophes naturelles, les attaques malveillantes et les accidents.
  • Seuls les représentants autorisés ont accès aux locaux du centre de données de production, tous les accès au centre de données sont enregistrés.
  • Les centres de données sont situés au sein de l'Union Européenne.
  • Un système de caméra (CCTV) surveille toutes les entrées et zones opérationnelles à l'intérieur du centre de données ; l'enregistrement doit utiliser un mécanisme de synchronisation horaire et être conservé pendant un mois.
  • Les bureaux et les lieux de travail sont laissés propres par les travailleurs de Worldline lorsqu'ils quittent le bureau conformément à la politique de bureau propre.
  • L'impression sécurisée a été mise en œuvre pour éviter l'accès non autorisé à l'impression sur le serveur.

Sécurité de l'Accès aux Systèmes

Objectif(s) :

L'accès aux systèmes et plateformes de Worldline est utilisé uniquement par les utilisateurs autorisés et authentifiés. Les mesures incluent :

  • L'accès à l'environnement de production de Worldline est accordé uniquement aux travailleurs autorisés de Worldline (les personnes autorisées).
  • Les accès sont limités comme nécessaire pour permettre aux personnes autorisées de remplir leur fonction.
  • L'authentification multi-facteurs est requise pour accéder à l'environnement de production de Worldline.
  • Tous les accès accordés en tant qu' “utilisateur” à l'environnement de production de Worldline requièrent un identifiant unique et personnel (un “compte utilisateur”).
  • Tout appareil mobile (ordinateur portable, clé USB, etc.) doit avoir une protection par chiffrement de disque en place pour protéger contre les fuites de données en cas de vol ou de perte de l'appareil.
  • La politique de mot de passe de Worldline et la politique d'utilisation acceptable interdisent le partage de mots de passe, la réutilisation de mots de passe personnels non liés au travail et exigent que les mots de passe soient changés régulièrement et que les mots de passe par défaut soient modifiés. Tous les mots de passe doivent répondre à des exigences minimum définies et sont stockés sous forme chiffrée.
  • Chaque ordinateur a un écran de veille protégé par mot de passe qui est activé après une période spécifique d'inactivité.
  • L'environnement de production est équipé de couches multiples de contrôles de sécurité tels que pare-feux, pare-feux d'applications web, systèmes de détection d'intrusion, systèmes de prévention d'intrusion, surveillance de l'intégrité des fichiers, etc.
  • Le contrôle de l'accès au réseau doit être mis en œuvre pour éviter qu'un appareil non fiable ne se connecte au segment de réseau privilégié ayant accès aux systèmes d'information de Worldline.
  • Tous les systèmes de production (y compris l'équipement réseau) journalisent dans un serveur de logs centralisé.
  • Tous les systèmes de production de Worldline doivent être configurés pour journaliser les événements clés et critiques. Ces logs doivent être centralisés, sécurisés de manière appropriée et conservés pour un minimum de 12 mois.
  • Des procédures de gestion du cycle de vie des utilisateurs ont été mises en œuvre pour attribuer, déployer des droits d'utilisateur en alignement avec les fonctions qui leur sont spécifiquement assignées et une révocation des droits utilisateurs et une désactivation du compte utilisateur lors du départ de l'entreprise.
  • L'authentification d'accès à l'environnement hébergeant les systèmes d'information est basée sur un mécanisme de double authentification.
  • Worldline a mis en place un programme formel de gestion des changements avec un comité consultatif sur les changements (CAB) qui évalue, approuve ou rejette les changements. Le CAB est dirigé par un gestionnaire de changement et se compose de membres de différents départements, tels que la recherche et le développement, la sécurité, les opérations, etc.

Accès aux Données

Objectif(s) :

Les personnes autorisées à utiliser les systèmes de traitement des données n'accèdent qu'aux données auxquelles elles sont autorisées. Les personnes autorisées doivent être dignes de confiance et gérer les données conformément à leur classification. Les mesures incluent :

  • L'accès aux données est accordé selon les principes du “Need-To-Know et Need-to-Use” en alignement avec la fonction/ rôle de l'emploi.
  • L'environnement de production est distinct des environnements de développement, d'intégration et de test.
  • Worldline applique le principe de minimisation des données et, lorsque cela est approprié et pratique, la pseudonymisation est utilisée pour réduire la probabilité d'accès inapproprié aux données personnelles.
  • L'information est éliminée conformément à son niveau de classification et en suivant la ou les procédures établies.
  • Worldline réalise une vérification des antécédents de tous les employés. Worldline doit effectuer les vérifications d'antécédents suivantes sur tous les employés recrutés/embauchés ayant accès à des ressources avant de commencer leurs activités professionnelles :
    • Preuve du droit légal de travailler;
    • Preuve de l'adresse légale;
    • Vérification d'identité (passeport ou document similaire);
    • Confirmation des qualifications académiques et professionnelles revendiquées;
    • Vérification (pour l'exhaustivité et l'exactitude) du curriculum vitae du candidat;
    • Casier judiciaire ou examen;
    • Certificat de bonne conduite ou un certificat équivalent, selon le pays, délivré par l'autorité policière compétente

Transmission des Données

Objectif(s) :

Empêcher que les données ne soient lues, copiées, altérées ou supprimées par des parties non autorisées lors du transfert. Les mesures incluent :

  • L'accès client à la plateforme de paiement et les demandes de paiement du client final (titulaire de la carte) sont protégés par des protocoles et des algorithmes de chiffrement forts ; par exemple HTTPS utilisant TLS (Transport Layer Security)
  • La robustesse du TLS est étroitement surveillée, de sorte qu'aucun chiffrement et protocole faible ne soit autorisé.
  • Les données sont échangées sur la base de protocoles sécurisés convenus entre Worldline et les Institutions Financières.

Gestion des Vulnérabilités

Objectif(s) :

Empêcher les systèmes d'être compromis en réduisant la surface d'attaque grâce à la détection des vulnérabilités et à la mise à jour des systèmes en temps opportun. Les mesures incluent :

  • Worldline établira et maintiendra une protection à jour contre le code malveillant.
  • Les systèmes de Worldline doivent être corrigés mensuellement. Une approche basée sur les risques peut être utilisée avec des correctifs de sécurité à haut risque installés en un mois et des correctifs de sécurité à risque moyen en trois mois.
  • Lorsque des mises à jour ne peuvent pas être appliquées à un système, Worldline déploie des mesures de sécurité appropriées pour protéger les systèmes vulnérables.
  • Les systèmes de Worldline ont un pare-feu activé et configuré conformément aux normes.
  • Worldline a mis en place des contrôles pour garantir que la capacité d'utiliser des clés USB ou des supports portables est restreinte. Des contrôles de surveillance doivent être en place pour détecter et bloquer (le cas échéant) l'utilisation de clés USB ou de supports portables.
  • Worldline effectue des scans de vulnérabilité réseau internes régulièrement.
  • Des tests de pénétration sont effectués régulièrement.

Cycle de Vie du Développement Sécurisé

Objectif(s) :

Prévenir contre le code malveillant non autorisé et s'assurer de la robustesse et de la sécurisation des applications en mettant en œuvre un cycle de vie de développement sécurisé (SDLC). Les mesures incluent :

  • Worldline développera des logiciels et des systèmes selon les directives du Cycle de Vie du Développement Logiciel Sécurisé (SDLC). Les directives sont basées sur les normes et/ou les meilleures pratiques de l'industrie, et incluent (mais ne sont pas limitées à) :
    • Aucune donnée de production (PANs de production) n'est utilisée pendant les tests et le développement.
    • Tout code source doit être examiné avant sa mise en production.
    • Les processus et procédures de contrôle des changements seront suivis pour tous les changements de logiciels et de systèmes.
    • L'environnement de test et de développement sera séparé et des contrôles d'accès appropriés seront appliqués.
    • Les revues de code sont effectuées par une personne autre que le développeur du code pour permettre une revue indépendante et objective.
    • Les revues de code garantissent que le code est développé selon les directives de codage sécurisé et les exigences PCI DSS.
    • Les développeurs doivent être formés aux meilleures pratiques et cadres de codage sécurisé.
    • Tous les changements de code sont documentés et surveillés et peuvent être liés au développeur qui a initié les changements de code.

Gestion des Incidents

Objectif(s) :

En cas de violation de la sécurité des données personnelles, l'impact de la violation est minimisé et les parties prenantes sont informées rapidement. Les mesures incluent :

  • Worldline maintient un plan de réponse aux incidents à jour qui inclut les responsabilités, comment les événements de sécurité de l'information sont évalués et classés en tant qu'incidents et les plans et procédures de réponse.
  • Worldline journalise les activités des administrateurs et des utilisateurs au centre de données de production pour fournir des preuves en cas d'incident.
  • Les horloges de tous les systèmes du centre de données de production sont synchronisées avec une source de temps de référence pour soutenir le suivi temporel des activités et des logs en cas d'incident.
  • Worldline teste régulièrement son plan de réponse aux incidents et apprend des tests et des incidents potentiels pour améliorer le plan.
  • En cas de violation de la sécurité, Worldline notifiera les parties prenantes concernées dans un délai acceptable après avoir pris connaissance de la violation de sécurité.

Conformité

Objectif(s) :

Fournir un service en conformité avec les règles et règlements de l'industrie. Les mesures incluent :

  • Worldline effectue des audits internes et externes réguliers de sa sécurité.
  • Worldline prend des mesures raisonnables pour s'assurer que les travailleurs de Worldline sont conscients des mesures techniques et organisationnelles énoncées dans ce document, et les respectent.
  • Worldline fournit une formation de sensibilisation aux travailleurs de Worldline pour les éduquer sur différents sujets tels que la conformité, la sécurité, PCI DSS, etc.
  • Worldline effectue au moins des tests de pénétration trimestriels des applications de scan de vulnérabilité sur la plateforme de paiement.
  • Worldline maintiendra sa certification de sécurité telles que PCI DSS.

Continuité des Activités

Objectif(s) :

Assurer un service hautement disponible aux clients et réduire les pannes de la plateforme et/ou les temps d'arrêt. Les mesures incluent :

  • Worldline utilise un niveau élevé de disponibilité dans les centres de données de production, de sorte qu'une défaillance d'un système ou d'un composant est peu susceptible d'affecter la disponibilité générale.
  • La plateforme de production est déployée sur plusieurs centres de données en Europe.
  • Le centre de données de production dispose de multiples alimentations électriques, générateurs sur site et d'une sauvegarde par batterie pour garantir la disponibilité de l'alimentation au centre de données.
  • Le centre de données de production dispose de multiples points d'accès à Internet pour garantir la connectivité.
  • Le centre de données de production est surveillé 24x7x365 pour les problèmes d'alimentation, de réseau, environnementaux et techniques.
  • Worldline a un plan de continuité des affaires (BCP) et un plan de reprise après sinistre (DRP) qui sont testés au moins une fois par an.

Pour plus d'informations sur l'avis de confidentialité, cliquez sur ce lien.

Cette page vous a-t-elle été utile ?

Avez-vous des commentaires ?

Merci pour votre réponse.
Aide & Informations
Infos API
Outils de développement
© 2025 | Worldline | Terms of use | Notice relative à la vie privée | Notice relative aux cookies
New Feature

Try out our new chatbot and find answers to all your questions.