Aller au contenu
Ts-Payment

Sécurité

Sécurité, conformité, souveraineté

Ts-Payment est conçu comme un orchestrateur pur, sans mouvement de fonds et sans stockage de PAN par défaut. La conformité est native, pas ajoutée après coup.

Bring Your Own Key (BYOK)

Vos clés PSP restent chiffrées avec un KMS dédié. Ts-Payment ne garde jamais vos secrets en clair en base. Vos contrats Stripe, Adyen, PayPlug restent vôtres — nous ne sommes jamais destinataires des fonds.

Hébergement UE et RGPD

Infrastructure exclusivement dans l’Union européenne (régions Paris / Francfort, hébergeurs certifiés SOC 2 et ISO 27001). RGPD natif, pas de transfert hors UE sans votre consentement explicite. Éditeur français soumis au droit français.

Frontière PCI précise

Le formulaire carte est hébergé directement par le PSP sélectionné (Stripe Elements, PayZen Embedded, Adyen Drop-in, Mollie Components…). Le PAN, la date d’expiration et le CVC ne transitent jamais par les serveurs Ts-Payment. Vous restez en SAQ A, le niveau PCI DSS le plus simple.

PCI DSS — SAQ A par défaut

Aucun numéro de carte stocké côté Ts-Payment : la tokenisation reste chez votre PSP. Un vault cross-PSP optionnel (partenariat Basis Theory / VGS) est disponible pour les cas avancés nécessitant la portabilité des tokens.

Chiffrement et rotation des clés

Données chiffrées au repos (AES-256) et en transit (TLS 1.3 partout, HSTS). Clés API PSP chiffrées par enveloppe via KMS dédié, rotation périodique. Secrets HMAC pour la signature de chaque webhook sortant.

Webhooks et audit trail

Tous les webhooks sont signés HMAC-SHA256 et journalisés. Chaque événement est replayable depuis la console. Audit trail complet, exportable pour vos auditeurs et vos équipes compliance.

Sous-traitants techniques

Hébergement applicatif chez Vercel (régions UE). Email transactionnel via l’API ts-identity, opérée par Ts-Services dans l’UE. La liste exhaustive des sous-traitants, leurs localisations et leurs rôles sont détaillés dans le DPA fourni sur demande.

Continuité et gestion d’incident

Supervision temps réel par PSP, détection automatique des pannes et bascule via le moteur de fallback. Procédure d’incident formalisée : notification client par email, post-mortem écrit sur incident majeur. Engagements détaillés dans le DPA et les CGV.

SSO, MFA, isolation des environnements

SSO sur la console via OIDC à la demande, MFA obligatoire pour les comptes administrateurs. Rate limiting configurable par clé API. Environnements sandbox et production strictement isolés (bases, secrets et réseaux distincts).

Engagements contractuels

SLA 99,9 % à partir du plan Scale, 99,95 % avec pénalités contractuelles sur le plan Enterprise. Sans encaissement ni détention de fonds par Ts-Payment : les flux financiers restent gérés par vos PSP, sous vos contrats existants. Analyse réglementaire disponible sur demande.

Documentation conformité disponible sur demande

Pour vos questionnaires sécurité, vos audits et votre dossier compliance, nous transmettons aux prospects qualifiés :

  • Data Processing Agreement (DPA) RGPD
  • Registre exhaustif des sous-traitants
  • Schéma d’architecture et flux de données détaillés
  • Plan de continuité d’activité (PCA / PRA)
  • Questionnaire sécurité (SIG, CAIQ, ou votre format)
  • Analyse réglementaire : statut non-PSP / absence d’encaissement

Besoin d’un audit de conformité pour vos équipes ?

Nous fournissons une checklist PCI DSS / RGPD sur demande et répondons à vos questionnaires sécurité.

Nous contacterExplorer les features