Politique de sécurité de l'information

Politique de sécurité de l'information

Date d'entrée en vigueur : 3 mai 2025

Propriétaire : A$S Print on Demand Services

1. Objectif

Cette politique de sécurité de l'information établit les principes et les exigences pour protéger les informations sensibles, en particulier les données des titulaires de carte (CHD), traitées via notre boutique en ligne Shopify et les services tiers associés, conformément aux meilleures pratiques du secteur et aux normes PCI DSS.

2. Portée

Cette politique s'applique à tous les systèmes, sous-traitants et fournisseurs tiers qui stockent, traitent ou transmettent les données des titulaires de carte liées aux opérations de commerce électronique d'A$S Print on Demand Services.

3. Sécurité du réseau

Notre boutique Shopify fonctionne sur l'infrastructure sécurisée de Shopify, qui comprend des mécanismes de protection réseau robustes tels que des pare-feu, des systèmes de détection d'intrusion et des analyses régulières des vulnérabilités. Shopify gère son propre réseau et maintient sa conformité à la norme PCI DSS de niveau 1, garantissant ainsi le traitement sécurisé des données des titulaires de carte.

4. Politique d'utilisation acceptable

Tout le personnel accédant aux systèmes ou aux informations liés à notre activité de commerce électronique doit suivre les directives d'utilisation acceptables, notamment :

  • Aucun partage des identifiants de connexion.

  • Utilisation d'appareils et de navigateurs sécurisés et mis à jour.

  • Accès aux systèmes uniquement via des comptes autorisés.

5. Protégez les données stockées

Nous ne conservons aucune donnée de titulaire de carte sur nos systèmes. Toutes les informations de paiement sont traitées de manière sécurisée par des prestataires tiers conformes à la norme PCI DSS : Tilopay et Powertranz.

6. Classification des informations

Les informations sont classées en trois niveaux :

  • Public : Informations destinées à la consommation publique (par exemple, listes de produits).

  • Interne : Données sur les opérations commerciales non destinées au public.

  • Sensible : inclut les informations client, les enregistrements de transactions et les données des titulaires de carte traitées uniquement par des services tiers autorisés.

7. Accès aux données sensibles des titulaires de carte

Les données des titulaires de carte ne sont jamais accessibles à notre équipe interne. Toutes les transactions sont traitées directement via :

  • Tilopay (passerelle de paiement conforme PCI DSS)

  • Powertranz (processeur conforme PCI DSS niveau 1)

Tilopay et Powertranz cryptent les données du titulaire de la carte à toutes les étapes de la transaction et n'autorisent aucun stockage ou transmission de données de carte en texte brut.

8. Sécurité physique

En tant qu'entreprise de commerce électronique basée sur le cloud, nous ne disposons pas de serveurs physiques. L'hébergement et le stockage des données sont entièrement gérés par Shopify et nos prestataires de paiement dans leurs centres de données sécurisés.

9. Protégez les données en transit

Les données sont protégées pendant le transit via :

  • Cryptage HTTPS (SSL/TLS) pour tout le trafic Web.

  • Communications API cryptées entre Shopify, Tilopay et Powertranz.

  • Aucune donnée du titulaire de la carte n'est transmise en clair à aucun moment.

10. Élimination des données stockées

Étant donné qu'aucune donnée de titulaire de carte n'est stockée, aucune procédure de suppression n'est nécessaire. Toutes les données client (par exemple, les coordonnées) stockées dans Shopify sont conservées conformément à notre politique de confidentialité et supprimées de manière sécurisée sur demande ou après expiration des délais de conservation.

11. Sensibilisation et procédures de sécurité

Tout le personnel est formé sur :

  • Principes de base de la sécurité de l'information.

  • Reconnaître les tentatives d’hameçonnage et d’ingénierie sociale.

  • Importance de sécuriser les comptes avec des mots de passe forts et 2FA.

12. Plan de réponse aux incidents de sécurité liés aux cartes de crédit (PCI)

En cas d'incident de sécurité suspecté ou confirmé impliquant les données du titulaire de la carte :

  1. Informez immédiatement le support Shopify et les fournisseurs de paiement concernés.

  2. Lancer une enquête interne.

  3. Informer les clients et les parties prenantes, si nécessaire.

  4. Documenter l’incident et sa résolution à des fins de conformité.

  5. Revoir et améliorer les mesures préventives.

13. Politique de transfert d'informations sensibles

Les informations sensibles sont transmises uniquement via des canaux sécurisés et chiffrés. Aucun transfert de données personnelles n'est effectué par e-mail, chat ou formulaire web non sécurisé.

14. Gestion des accès utilisateurs

Comptes utilisateurs pour Shopify, Tilopay et Powertranz :

  • Vous devez utiliser des mots de passe forts et 2FA.

  • L'accès est accordé selon le principe du moindre privilège.

  • Sont examinés trimestriellement pour détecter les comptes inutiles ou inactifs.

15. Politique de contrôle d'accès

L'accès aux systèmes et aux données est régi par des contrôles d'accès basés sur les rôles (RBAC). Seul le personnel autorisé est autorisé à consulter les informations client, et personne ne peut accéder directement aux données des titulaires de carte.

Révision et maintenance :
Cette politique est révisée chaque année ou lors de changements importants dans la technologie, les fournisseurs ou la réglementation directement.

4o