Sécurité

Vos fonds.
Vos données.
Protégés.

Chiffrement de bout en bout, ségrégation des fonds, audits indépendants, conformité BCEAO/BEAC et RGPD. La sécurité est notre fondation, pas une feature optionnelle.

Demander un audit

Chiffrement AES-256 + TLS 1.3

Toutes les données au repos sont chiffrées AES-256. Les communications réseau utilisent TLS 1.3 minimum, certificats EV.

Ségrégation bancaire

Vos fonds sont conservés sur des comptes ségrégés chez nos partenaires bancaires régulés. Jamais mélangés à nos comptes opérationnels.

Wallets multi-sig pour stablecoins

Chaque client dispose de wallets dédiés multi-signature. Aucune transaction ne sort sans approbation de plusieurs clés indépendantes.

2FA & SSO obligatoires

Authentification à deux facteurs (TOTP, Yubikey) obligatoire pour tous les utilisateurs Business et Entreprise. SSO SAML disponible.

Monitoring AML/CFT continu

Screening automatique sur listes OFAC, EU, ONU. Détection comportementale anti-fraude basée sur des modèles statistiques + équipe compliance dédiée.

Audit logs immuables

Chaque action est tracée et stockée de manière immuable (append-only) pendant 10 ans. Exportable pour vos auditeurs.

Conformité

Régulé là où ça compte.

BCEAO / BEAC

Conformité aux régulations de la Banque Centrale des États de l’Afrique de l’Ouest et de la Banque des États de l’Afrique Centrale via nos partenaires agréés.

🇪🇺

RGPD & PSD2

Hébergement OVH/Scaleway en France, Strong Customer Authentication, droits RGPD complets. DPO interne nommé.

🇺🇸

FinCEN / OFAC

Pour les flux USD, conformité FinCEN via Cross River Bank et nos partenaires US. Screening OFAC en temps réel.

Certifications & audits

Audits indépendants.

🔒

SOC 2 Type II

Audit annuel sur 12 mois par cabinet indépendant. Disponible sur demande sous accord NDA.

🛠️

Pentests trimestriels

Tests d’intrusion white-box réalisés tous les 3 mois par un cabinet certifié OSCP / CREST.

🐛

Bug bounty programme

Programme actif sur YesWeHack avec rewards jusqu’à 10 000 € pour les vulnérabilités critiques.

Pour les RSSI

Nos garanties.

Quel est votre RTO/RPO ?
RTO < 15 minutes, RPO < 5 minutes. Réplication synchrone multi-AZ pour les bases de données critiques, sauvegardes off-site quotidiennes avec rétention 90 jours.
Pouvez-vous fournir un rapport SOC 2 ?
Oui, sur demande après signature d’un NDA. Contactez security@krypta-pay.com.
Êtes-vous PCI-DSS compliant ?
Nous ne stockons aucune donnée carte. Les transactions Visa/Mastercard sont déléguées à nos partenaires PCI-DSS Level 1 (Stripe, Marqeta).
Comment signaler une vulnérabilité ?
Programme bug bounty sur YesWeHack ou directement à security@krypta-pay.com. PGP key disponible sur notre /security.txt.
Avez-vous une assurance cyber ?
Oui, nous sommes couverts par une police cyber via Hiscox, à hauteur de 5 millions d’euros. Détails fournis sur demande contractuelle.
Comment se passe la rotation des clés API ?
Vous pouvez créer/révoquer des clés à volonté depuis votre dashboard. Recommandation : rotation tous les 90 jours. Nous proposons un système de clés filles avec scopes restreints pour les intégrations partenaires.

Question sur la sécurité ?

Notre équipe sécurité répond directement aux RSSI et architectes sous 24h.

security@krypta-pay.comStatut plateforme