Appearance
Sécurité & Conformité
La sécurité n'est pas une option chez HayBTech, c'est le socle de notre infrastructure. Nous appliquons les standards les plus rigoureux du secteur bancaire et de la Fintech.
️ Architecture "Digital Fortress"
1. Protection des clés API
Vos clés API (pk_..., sk_...) sont traitées avec le plus haut niveau de confidentialité :
- Hachage à sens unique : Nous ne stockons jamais vos clés en clair. Seul un hachage SHA-256 est conservé en base de données.
- Affichage unique : Votre clé secrète ne vous est montrée qu'une seule fois lors de sa création. En cas de perte, vous devez en générer une nouvelle.
- Whitelist IP : Vous pouvez restreindre l'utilisation de vos clés à des adresses IP spécifiques pour empêcher tout usage non autorisé.
2. Intégrité des données (Webhooks)
Pour garantir que chaque notification de paiement provient réellement de HayBTech :
- Signature HMAC-SHA256 : Toutes nos requêtes sont signées numériquement.
- Protection anti-rejeu : Un horodatage (timestamp) est inclus dans la signature. Votre serveur doit rejeter les requêtes vieilles de plus de 5 minutes.
- Rotation de secrets (v1/v2) : Nous recommandons une rotation régulière de vos secrets de webhooks. Lors d'une rotation, HayBTech envoie deux signatures (
v1etv2) dans l'en-têteX-HayB-Signaturependant 48h, vous permettant de mettre à jour votre code sans aucune interruption de service.
Standards de Chiffrement
- Transport (TLS 1.3) : Toutes les données en transit sont chiffrées via TLS 1.3 avec une politique HSTS stricte (HTTPS obligatoire).
- Isolation des données : Chaque marchand dispose d'un environnement isolé. Les données d'un marchand ne peuvent jamais "fuiter" vers un autre.
- SSRF Guard : Notre système de webhook possède une protection contre les attaques par rebond (SSRF), empêchant toute tentative d'accès à vos infrastructures internes.
Conformité & Audit
- PCI-DSS Ready : HayBTech est conçu pour respecter les normes PCI-DSS. En utilisant notre popup sécurisé, vous n'avez jamais accès aux données sensibles (numéros de carte, codes PIN), ce qui réduit drastiquement votre périmètre de conformité.
- Audit Log Immuable : Chaque changement de statut, chaque accès API et chaque modification de compte est consigné dans un journal d'audit impossible à modifier.
- Surveillance 24/7 : Nos systèmes sont surveillés en temps réel pour détecter et bloquer toute activité suspecte ou tentative de force brute.
Signaler une vulnérabilité
Si vous pensez avoir découvert une faille de sécurité, merci de nous contacter directement à : security@haybtech.com. Nous récompensons les rapports responsables via notre programme de Bug Bounty interne.
