Stripe a fait l’objet d’un audit par un auditeur détenant une certification PCI et nous sommes certifiés Fournisseur de services PCI de niveau 1. Il s’agit du niveau de certification le plus rigoureux du secteur des paiements. Afin d’assurer ce niveau de sécurité élevé chez Stripe, nous avons adopté les meilleurs outils de sécurité, ainsi que les pratiques les plus efficaces en la matière.
HTTPS et HSTS pour des connexions sécurisées
Stripe impose le protocole HTTPS pour tous les services utilisant le protocole TLS (SSL), y compris notre site Web public et le Dashboard.
Stripe.js n’est accessible que via TLS
Les bibliothèques officielles de Stripe se connectent aux serveurs de Stripe par le protocole TLS et vérifient les certificats TLS à chaque connexion
Nous contrôlons régulièrement les détails de notre implémentation, y compris les certificats que nous traitons, les autorités de certification auxquelles nous faisons appel et les chiffrements que nous prenons en charge. Nous utilisons HSTS pour nous assurer que les navigateurs interagissent avec Stripe exclusivement via HTTPS. Stripe figure également dans les listes HSTS préchargées de Google Chrome et Mozilla Firefox.
Cryptage des données et des communications sensibles
Tous les numéros de carte bancaire font l’objet d’un chiffrement AES-256 des données au repos. Les clés de chiffrement sont sauvegardées sur des machines distinctes. Aucun des serveurs et daemon internes de Stripe ne peut obtenir les numéros de carte bancaire en clair, mais ils peuvent émettre une requête pour que les cartes soient envoyées à un fournisseur de services figurant sur une liste autorisée statique. L’infrastructure de Stripe pour le stockage, le déchiffrement et la transmission des numéros de carte bancaire fonctionne dans un environnement d’hébergement distinct et ne partage pas d’informations d’identification avec les principaux services de Stripe (API, site Web, etc.).