Paiement sécurisé

Paiement sécurisé

Notre paiement sécurisé

Avec SSL

Avec Visa/Mastercard/American Express

Le paiement par carte bancaire est opéré par le système Stripe.

Stripe a fait l’objet d’un audit réalisé par un auditeur détenant une certification PCI. À l’issue de cet audit, nous avons obtenu la certification de fournisseur de services PCI de niveau 1, soit le plus haut niveau de certification du secteur des paiements. Afin d’assurer ce niveau de sécurité élevé chez Stripe, nous avons adopté les meilleurs outils de sécurité, ainsi que les pratiques les plus efficaces en la matière.

HTTPS et HSTS pour des connexions sécurisées

Stripe impose le protocole HTTPS pour tous les services utilisant le TLS (SSL), y compris notre site Web public et le Dashboard afin de garantir des connexions sécurisées :

  • Stripe.js est uniquement accessible via le protocole TLS.
  • Les bibliothèques officielles de Stripe se connectent aux serveurs de Stripe via le protocole TLS et vérifient les certificats TLS à chaque connexion.

Nous contrôlons régulièrement les détails de notre déploiement, y compris les certificats que nous traitons, les autorités de certification auxquelles nous faisons appel et les chiffrements que nous prenons en charge. Nous utilisons HSTS pour nous assurer que les navigateurs interagissent avec Stripe exclusivement via HTTPS. Stripe figure également dans les listes HSTS préchargées de Google Chrome et Mozilla Firefox.

Chiffrement des données et communications sensibles

Tous les numéros de carte bancaire font l’objet d’un chiffrement AES-256 des données au repos. Les clés de déchiffrement sont sauvegardées sur des machines distinctes. Aucun des serveurs et daemon internes de Stripe ne peut obtenir les numéros de carte bancaire en clair, mais ils peuvent émettre une requête pour que les cartes soient envoyées à un fournisseur de services figurant sur une liste blanche statique. L’infrastructure de Stripe pour le stockage, le déchiffrement et la transmission des numéros de carte bancaire fonctionne dans un environnement d’hébergement distinct et ne partage pas d’informations d’identification avec les principaux services de Stripe, notamment notre API et notre site Web.