CorisPay Docs — Sécurité (2FA, KYC, Protection des données, Phishing)

Sécurité

Bienvenue dans l’espace Sécurité ! Cette page couvre l’authentification à deux facteurs (2FA), nos dispositions de sécurité (HTTPS/TLS, HSTS, chiffrement, protections applicatives), la protection des données KYC, la prévention du phishing et les bonnes pratiques pour sécuriser votre compte et vos intégrations.

Options d’authentification à deux facteurs CorisPay

Authentification à deux facteurs (2FA)

Renforcez l’accès à votre compte grâce à une deuxième preuve d’identité, en plus du mot de passe.

Code e-mail

Un code à usage unique est envoyé à votre adresse e-mail.

Application d’authentification

Scannez le QR pour lier Google Authenticator, 1Password, etc.

Reconnaissance faciale

Utilisez la biométrie pour un accès sécurisé (si disponible).

Désactivation 2FA : réduire ou supprimer la 2FA affaiblit la sécurité de votre compte. Nous la déconseillons fortement, sauf contrainte exceptionnelle.

Dispositions de sécurité

Connexions chiffrées (HTTPS, HSTS, TLS)

Toutes les communications (tableau de bord, API, SDK) sont chiffrées en HTTPS (TLS).
HSTS force l’usage de HTTPS sur les navigateurs compatibles.
Les certificats, autorités de certification et suites cryptographiques sont révisés régulièrement.

Chiffrement et gestion des secrets

Données sensibles chiffrées au repos.
Clés de déchiffrement stockées séparément et accès strictement contrôlé.
Clés SDK / API : rotation, révocation et séparation public/privé.

Authentification, API et protections applicatives

Accès tableau de bord restreint aux comptes authentifiés (mot de passe + 2FA recommandée).
API protégée : vérification d’en-têtes, secrets webhooks, contrôle d’intégrité des requêtes.
Protections CORS et CSRF, limites de débit, journalisation et surveillance.

KYC & protection des données

Dans le cadre du KYC, des éléments tels que captures vidéo/photo et pièces d’identité peuvent être collectés pour vérifier l’identité. Ces données sont chiffrées et stocké à froid, l’accès est restreint aux équipes habilitées et leur conservation suit la réglementation locale en vigueur.

Stockage sécurisé et journalisé.
Accès au strict nécessaire (principe du moindre privilège).
Suppression/archivage selon obligations légales.

Phishing / courriels suspects

Restez vigilant face aux tentatives d’hameçonnage visant à dérober des informations sensibles.

Vérifiez l’URL avant de cliquer : passez la souris sur le lien et confirmez qu’il pointe vers un domaine CorisPay légitime (ex. : corispay.com).
Vérifiez le domaine d’expédition : nos e-mails proviennent de domaines officiels CorisPay (évitez les variantes trompeuses).
Cadenas HTTPS : assurez-vous que le navigateur indique une connexion sécurisée.
En cas de doute, transférez le message suspect à notre équipe via la page Support.

Bonnes pratiques

Activez la 2FA pour tous les membres et utilisez des mots de passe forts et uniques.
Appliquez des rôles/permissions avec le principe du moindre privilège.
Ne divulguez jamais vos clés privées et secrets webhooks côté client (navigateur/app mobile).
Rotations régulières des clés, revocation en cas d’incident, et journalisation de l’accès.
Mettez à jour vos dépendances, SDK et serveurs (correctifs de sécurité).