FAQ – Conformité et résilience

Gouvernance et responsabilités

Qui est responsable de la sécurité chez CentralPay ?
La sécurité est pilotée par notre RSSI (Responsable de la Sécurité des Systèmes d’Information), rattaché directement à la Présidence. Le RSSI s’appuie sur un comité TIC et sur un cadre de gestion des risques aligné sur ISO 27005 et sur le règlement DORA. Le RSSI est joignable à l’adresse suivante : rssi@centralpay.com

Avez-vous une politique de sécurité documentée ?
Oui. Notre Politique de Sécurité du Système d’Information (PSSI) définit les règles applicables à l’ensemble de nos équipes et de nos prestataires. Elle couvre la classification des données, la gestion des accès, la protection des systèmes, la gestion des incidents, la continuité d’activité et l’encadrement des prestataires TIC.

Comment intégrez-vous la sécurité dans vos décisions stratégiques ?
La sécurité et la résilience sont intégrées à notre cadre global de gestion des risques. Celui-ci inclut une cartographie alignée ISO/DORA, une politique d’appétence aux risques, et un suivi par indicateurs (KRI). Les décisions de sécurité sont arbitrées au sein du comité Sécurité & Conformité et validées par la Direction Générale.

Comment contrôlez-vous vos dispositifs de sécurité ?
Nous appliquons le modèle des trois lignes de défense : les équipes métiers réalisent les contrôles opérationnels, la conformité et le contrôle permanent assurent la supervision, et le contrôle périodique réalise une évaluation indépendante.

Protection des données et des systèmes

Comment protégez-vous les données et systèmes de CentralPay ?
Toutes les données sont chiffrées : TLS 1.2/1.3 pour les échanges en transit et AES-256 pour le stockage. Les données de carte sont traitées uniquement dans un environnement certifié PCI DSS niveau 1 et immédiatement tokenisées, afin qu’aucun numéro complet ne soit conservé en clair.

Nos infrastructures sont segmentées et protégées par des firewalls, IDS/IPS et une supervision SOC. Les accès aux environnements sensibles sont limités, appliquent le principe du moindre privilège et sont protégés par MFA. Tous les postes de travail sont chiffrés, sécurisés par antivirus/EDR et mis à jour automatiquement.

Tests et contrôles de sécurité

Réalisez-vous des tests de sécurité ?
Oui. Nous effectuons régulièrement des tests de pénétration indépendants, des scans automatisés de vulnérabilités et des audits externes (dont PCI DSS). Ces contrôles permettent d’identifier les failles et de renforcer en permanence notre dispositif.

Comment gérez-vous la journalisation et les logs ?
Les journaux sont conservés 24 mois, horodatés, protégés par chiffrement et intégrés dans notre système de supervision (SIEM). Leur accès est strictement restreint aux équipes habilitées.

Comment gérez-vous les vulnérabilités et mises à jour ?
Nous appliquons une politique stricte de patch management : correction des vulnérabilités critiques sous 24h, vulnérabilités hautes sous 7 jours, et autres correctifs selon une fréquence planifiée. Le suivi est assuré par des scans et des rapports de conformité.

Organisation et culture sécurité

Comment sensibilisez-vous vos collaborateurs à la sécurité ?
Tous les collaborateurs suivent une formation annuelle obligatoire sur la cybersécurité, le RGPD et la LCB-FT. Des campagnes de sensibilisation régulières (exercices phishing, e-learning) complètent ce dispositif. Les équipes techniques bénéficient de formations renforcées.

Comment garantissez-vous que les accès restent limités ?
Nous appliquons le principe du moindre privilège : chaque utilisateur n’accède qu’aux ressources nécessaires à sa mission. Les droits sont justifiés, temporaires et systématiquement tracés.

Comment encadrez-vous les accès administrateurs ?
Les accès à privilèges élevés sont limités à un nombre restreint de personnes, soumis à MFA, tracés et revus régulièrement. Ils ne sont accordés que pour des besoins précis et pour une durée limitée.

Anticipation et amélioration continue

Comment anticipez-vous les menaces émergentes ?
Nous assurons une veille cybersécurité active via les bulletins CERT-FR, ANSSI, éditeurs logiciels et fournisseurs cloud. Cette activité de threat intelligence permet d’adapter nos défenses en temps réel.

Comment améliorez-vous en permanence votre sécurité ?
Chaque incident, audit ou test fait l’objet d’un retour d’expérience documenté et d’un plan d’actions correctives. Nos politiques et procédures sont revues annuellement pour intégrer ces enseignements et les évolutions réglementaires.

Résilience et continuité

Comment assurez-vous la continuité de vos services ?
Nous disposons d’un Plan d’Urgence et de Poursuite d’Activité (PUPA) intégrant un PCA (continuité) et un PRI (reprise). Ces plans sont régulièrement testés à travers des exercices de crise et des scénarios de bascule.

Comment garantissez-vous la disponibilité et la redondance ?
Nos services reposent sur une architecture redondée au sein de plusieurs zones européennes, permettant d’assurer une disponibilité de plus de 99,95 %.

Quels sont vos objectifs de RPO et RTO ?
CentralPay définit et teste régulièrement ses objectifs de continuité :

• RPO (Recovery Point Objective) : inférieur à 1 minute pour les systèmes critiques, grâce à la réplication temps réel des données.
• RTO (Recovery Time Objective) : inférieur à 15 mn pour la reprise des services essentiels, grâce à l’architecture redondée et aux procédures de bascule.
  Ces objectifs sont validés lors de nos exercices PCA/PRI et intégrés dans notre dispositif DORA.

Comment gérez-vous vos sauvegardes ?
Les sauvegardes sont chiffrées, isolées, redondées et régulièrement testées pour garantir leur restauration. Elles suivent les mêmes politiques de sécurité que les environnements de production.

Réalisez-vous des tests de résilience conformément à DORA ?
Oui. Nous réalisons des exercices de crise (cyberattaques simulées, pannes critiques), des tests de charge et de performance, des scénarios de bascule et, pour les fonctions critiques, des tests avancés de type TLPT (Threat-Led Penetration Testing).

Relations avec les prestataires

Comment sélectionnez-vous vos prestataires critiques ?
Chaque prestataire fait l’objet d’une due diligence (sécurité, conformité, localisation des données, SLA). Les contrats incluent des clauses RGPD et DORA (sécurité, notification d’incident, droit d’audit).

Comment contrôlez-vous vos prestataires dans la durée ?
Nous tenons un registre DORA recensant tous nos prestataires TIC et identifiant les prestataires critiques. Ces derniers font l’objet d’un suivi renforcé : revues régulières, audits, attestations ISO/PCI et évaluations de résilience.

Gestion des incidents

Que se passe-t-il en cas d’incident de sécurité ?
Nous appliquons une procédure de gestion des incidents incluant : détection, qualification, confinement, remédiation et forensic. Si nécessaire, nous notifions la CNIL sous 72h et informons les clients concernés. Chaque incident majeur donne lieu à un retour d’expérience et à un plan d’actions correctives suivi jusqu’à sa clôture.