Sécurité des transferts de données personnelles

L’analyse des mesures techniques et organisationnelles permettant d’assurer la sécurité des données personnelles est un critère d’évaluation important en ce qui concerne les transferts internationaux. Conformément au Règlement général sur la protection des données (RGPD) et à d’autres lois en vigueur sur la protection des données, Shopify déploie des mesures techniques et organisationnelles complètes pour assurer la sécurité des données personnelles des clients de ses marchands.

Cette page propose un résumé de notre programme de sécurité. D’autres informations sont disponibles sur la page Sécurité.

Sécurité physique

Shopify tire parti des environnements d’hébergement virtuel stockés dans des centres de données titulaires de certifications de sécurité répondant aux normes du secteur. Les sites sont physiquement protégés par un périmètre de sécurité et des zones de sécurité à plusieurs niveaux équipés de systèmes d’alarme, de vidéosurveillance (CCTV) et d’agents de sécurité présents sur place 24 heures sur 24 et 7 jours sur 7, ainsi que de dispositifs d’identification multifactoriels, de cages privées et de verrous physiques. Les disques durs ne quittent pas les centres de données ; au lieu de cela, ils sont détruits sur place de manière sécurisée. Nos serveurs sont hébergés dans des centres de données détenant les certifications suivantes :

Architecture

La plateforme de Shopify est basée sur une architecture multi-tenant, optimisée pour la performance et la résilience. Les données personnelles des marchands sont séparées par des contrôles au niveau des applications. L’environnement d’application de chaque serveur (l’application, ses dépendances et ses fichiers de configuration) est remplacé lors du déploiement des changements, ce qui élimine les vecteurs de persistance des logiciels malveillants.

Application

Le maintien de la sécurité des applications est essentiel à notre processus de développement. Nos développeurs sont régulièrement formés sur les bonnes pratiques en matière de sécurité des applications, et nous surveillons les éventuelles vulnérabilités. Les propriétaires de boutiques peuvent également configurer des fonctionnalités de sécurité supplémentaires. Par exemple, les propriétaires de comptes peuvent :

  • Activer l’authentification multifactorielle sur leur compte.
  • Consulter les historiques d’activité, y compris l’activité de connexion récente de chaque utilisateur.
  • Définir des niveaux d’accès basés sur des rôles.
  • Imposer des autorisations granulaires en matière de portée d’API.

Authentification en deux étapes

Les fonctionnalités telles que l’authentification en deux étapes ajoutent un niveau de sécurité supplémentaire pour rendre plus difficile l’accès aux comptes de nos marchands par une personne non autorisée. Ce niveau supplémentaire peut réduire la probabilité de piratage des comptes.

Lorsque vous tentez de vous connecter, vous devez effectuer deux étapes distinctes :

  1. Saisir l’adresse e-mail et le mot de passe du compte ;
  2. Authentifier la connexion au moyen d’un appareil mobile ou d’une clé de sécurité.

Ainsi, même si une tierce personne découvre le mot de passe, elle ne pourra pas se connecter sans franchir la deuxième étape.

Shopify propose un certain nombre de méthodes d’authentification en deux étapes, y compris les SMS, l’application d’authentification et la clé de sécurité.

Pour plus d’informations, consultez la section Sécuriser votre compte avec l’authentification en deux étapes.

Chiffrement

Les informations en transit sont chiffrées à travers les protocoles de chiffrement conformes aux normes du secteur suivants :

  • SSH
  • HTTPS-TLSv1.2

Shopify utilise le protocole HTTPS pour les pages de paiement, les pages de boutique en ligne et les pages d’interface administrateur. Les détails des cartes de crédit et autres informations sensibles recueillies par les boutiques dans le cadre de leurs opérations sont chiffrés au repos. Le salage et le hachage de tous les mots de passe utilisateur s’effectuent avec bcrypt au moment du stockage.

Shopify utilise Transport Layer Security (TLS), un protocole de chiffrement employé pour sécuriser les communications Internet, afin de protéger toutes les connexions à l’interface administrateur et aux boutiques des marchands. Lorsque, à côté d’une URL commençant par https://, la barre d’adresse d’un navigateur affiche une icône de cadenas, cela signifie que la connexion utilise le protocole TLS. TLS protège toutes les connexions à Shopify, y compris celles des marchands et de leurs clients. Shopify prend en charge la version TLS 1.2 et les versions supérieures du protocole TLS.

Les certificats TLS offrent aux boutiques des marchands les avantages suivants :

  • Ils ajoutent un niveau de sécurité en chiffrant les données personnelles des clients.
  • Ils augmentent la confiance de votre clientèle en affichant une icône de cadenas à côté de l’URL de la boutique en ligne.

Pour plus d’informations, consultez les sections Transport Layer Security et Activer les connexions sécurisées à votre boutique Shopify.

Conformité PCI

Shopify est certifiée conforme à la norme PCI DSS de niveau 1. Le PCI Security Standards Council est un organisme mondialement reconnu, dédié au maintien de normes pour le traitement sécurisé des transactions par carte de crédit. Il aide des fournisseurs comme les marchands Shopify à traiter les paiements par carte de crédit de manière sécurisée et à protéger les informations des titulaires de carte.

Shopify prend très au sérieux la sécurité de l’hébergement de votre boutique et a investi beaucoup de temps et d’argent pour rendre sa solution conforme à la norme PCI DSS. De nos évaluations annuelles pour valider notre conformité à la gestion continue des risques, nous mettons tout en œuvre pour sécuriser notre panier et notre hébergement e-commerce en permanence.

Toutes les boutiques propulsées par Shopify sont conformes à la norme PCI DSS par défaut, de sorte que les informations de paiement et les données commerciales de nos marchands sont constamment protégées.

Notre conformité couvre les six objectifs standard de la norme PCI :

  • maintient un réseau sécurisé ;
  • protège les données des titulaires de cartes ;
  • maintient un programme de gestion des vulnérabilités ;
  • Mettre en œuvre des contrôles d’accès renforcés.
  • surveille et teste régulièrement les réseaux ;
  • maintient une politique de sécurité de l’information.

Consultez la page Shopify’s PCI Compliance (Conformité PCI de Shopify) pour plus d’informations.

Contrôle des organisations de services (SOC)

Les rapports de contrôle des organisations de services (SOC) correspondent à des évaluations des systèmes d’information d’une entreprise par des vérificateurs tiers qui certifient que l’entreprise répond à un ensemble indépendant de normes, y compris à des critères liés à la sécurité et à la disponibilité de ses services.

Shopify a reçu les rapports suivants pour le service que nous fournissons à nos clients :

  • SOC 2 Type II
  • SOC 3

Pour plus d’informations, consultez nos rapports de conformité. Toute personne connectée en tant que marchand(e) y trouvera le rapport SOC 2 Type II.

Autres éléments essentiels en matière de sécurité

Les contrôles de sécurité de Shopify comprennent un certain nombre de fonctionnalités de sécurité essentielles. Par exemple :

  • Des scans de vulnérabilité et des tests d’intrusion sont régulièrement effectués par des prestataires externes afin d’identifier d’éventuelles faiblesses en matière de sécurité et d’y remédier.
  • Notre équipe d’ingénieurs de production surveille continuellement la performance des serveurs et des applications.
  • Nos outils de gestion des configurations garantit que la configuration appliquée aux serveurs est la plus récente.
  • Shopify surveille les sources de divulgation des vulnérabilités et les sources des mises à jour de sécurité applicables, ainsi que les actions éventuellement nécessaires.
  • Les marchands et les sous-traitants de sécurité ont la possibilité d’effectuer des tests sur leur propre boutique en ligne.
  • Les marchands sont encouragés à signaler ce qu’ils trouvent sur la plateforme dans le cadre de notre programme HackerOne.
  • En cas de sinistre informatique, nos systèmes sont conçus pour récupérer rapidement les données. La récupération des sauvegardes est testée quotidiennement.
  • Shopify offre plusieurs niveaux de redondance, afin de s’assurer que les données des marchands sont disponibles pour ces derniers et que les clients sont en mesure d’utiliser les boutiques des marchands.
  • Nous disposons d’un processus officiel de réponse aux incidents de sécurité informatique et de résolution.
  • Les appareils des employés sont gérés de manière centralisée, de manière à appliquer et à limiter les mesures de sécurité, conformément aux politiques de sécurité de Shopify.
  • La configuration du pare-feu Web Application Firewall (WAF) existe à l’échelle de la plateforme tout entière.
  • Shopify offre des outils de prévention de la perte de données (Data Loss Prevention) à travers la surveillance de la plateforme et de la sécurité, notamment par le biais de systèmes de prévention/détection des intrusions (IDS/IPS) dans les environnements sensibles.
  • Shopify applique des contrôles d’accès basés sur le rôle en suivant le principe du moindre privilège.
  • Nous fournissons des rapports, tels que le rapport SOC 2 Type II, en appui aux évaluations de sécurité effectuées chaque année par des organismes de vérification indépendants.
  • Nos employés reçoivent une formation pour les sensibiliser à la sécurité de l’information et sont soumis à des obligations de confidentialité dans le cadre de leur contrat.

Pour plus d’informations, consultez la page Sécurité.

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement