Sécurité
Sécurité de la plateforme
Dernière mise à jour : 7 juillet 2026
Chiffrement bout en bout
TLS 1.3 pour toutes les transmissions. AES-256 pour les données au repos.
Authentification 2FA
Double authentification obligatoire pour l'accès au tableau de bord marchand.
Tests de pénétration
Audits de sécurité semestriels par des experts indépendants accrédités.
Monitoring 24/7
Surveillance en temps réel de l'infrastructure avec alertes automatiques.
Bug Bounty
Programme de divulgation responsable des vulnérabilités ouvert aux chercheurs.
Isolation des environnements
Séparation stricte production / staging / développement.
1. Architecture de sécurité
Cartflox a conçu son infrastructure selon le principe du « security by design » (sécurité dès la conception) : • Architecture multi-couches avec zones démilitarisées (DMZ) • Pare-feux applicatifs (WAF) sur toutes les interfaces exposées • Isolation réseau stricte entre les composants critiques • Principe du moindre privilège pour tous les accès internes • Journalisation immuable de toutes les opérations sensibles • Sauvegarde chiffrée quotidienne avec tests de restauration mensuels
2. Sécurité des clés API
Vos clés API Cartflox sont des identifiants sensibles. Nous vous recommandons de : • Ne jamais exposer votre clé secrète dans du code frontend ou public • Utiliser des variables d'environnement pour stocker vos clés • Régénérer vos clés immédiatement en cas de compromission suspectée • Utiliser des clés différentes pour vos environnements test et production • Restreindre les permissions de chaque clé au strict nécessaire (lecture seule, écriture, etc.) Vous pouvez régénérer ou révoquer vos clés à tout moment depuis votre tableau de bord.
3. Prévention de la fraude
Cartflox intègre un moteur de prévention de la fraude en temps réel : • Scoring de risque basé sur le comportement de la transaction • Détection des patterns anormaux (montants inhabituels, fréquence élevée, géolocalisation) • Blocage automatique des adresses IP suspectes • Listes noires partagées entre marchands (avec anonymisation) • Vérification des numéros de mobile money contre les bases de fraude connues • Alertes en temps réel pour les marchands en cas de tentative suspecte
4. Gestion des incidents
En cas d'incident de sécurité, notre procédure est la suivante : • Détection et qualification de l'incident sous 1 heure • Isolation des systèmes affectés sous 2 heures • Notification des marchands impactés sous 24 heures • Rapport d'incident préliminaire sous 72 heures • Rapport d'incident complet sous 7 jours • Mesures correctives et post-mortem partagés En cas de violation de données personnelles, nous notifions les autorités compétentes et les personnes concernées dans les délais réglementaires.
5. Signaler une vulnérabilité
Cartflox encourage la divulgation responsable des vulnérabilités de sécurité. Si vous découvrez une faille, contactez-nous à : hello@wozif.com (objet : [SECURITY]) Nous nous engageons à : • Accuser réception sous 24 heures • Confirmer la vulnérabilité sous 5 jours ouvrés • Vous tenir informé de l'avancement du correctif • Ne pas engager de poursuites pour une divulgation faite de bonne foi Nous récompensons les découvertes significatives selon leur criticité (programme Bug Bounty).
6. Bonnes pratiques pour les marchands
Pour maximiser la sécurité de votre intégration Cartflox : • Vérifiez toujours la signature des webhooks avec votre clé secrète • Utilisez HTTPS pour tous vos endpoints de callback • Validez les montants et références côté serveur avant de valider une commande • Implémentez une logique d'idempotence pour éviter les doubles traitements • Limitez les tentatives de paiement par session • Journalisez toutes les transactions côté de votre système
Découverte d'une vulnérabilité ?
Divulgation responsable — nous répondons sous 24h.