Bonjour 👋

Au lieu d'afficher sur notre site une phrase bidon du type "la protection de vos données personnelles est notre priorité", nous allons vous présenter ce que nous faisons de vos données et soulever le capot de notre produit. En vous présentant les détails de l'application web et son architecture, vous pourrez ainsi juger par vous même de sa sécurité.

Politique de gestion de données

Waltio ne partage ni ne vend les données de ses clients ou utilisateurs à des tiers. Ceci est clairement mentionné dans nos Conditions Générales d'Utilisation.

Le produit Waltio et son architecture

Sécurité de la connexion

  • L'intégralité du site et de l'application web Waltio utilise le protocole HTTPS (HTTP Secure). Ainsi, vos données naviguant sur le web sont chiffrées. Voici les résultats :

Sécurité de la connexion web Waltio

https://www.ssllabs.com/ssltest/analyze.html?d=tax.waltio.co

Connexions aux plateformes d'échange et portefeuilles de stockage à froid (cold wallets)

  • Notre système vous offre deux options pour connecter vos données en fonction de la plateforme:

    • Par dépôt de fichiers téléchargés depuis des exchanges ou à partir de wallets : nous n'avons donc aucun moyen de nous connecter à vos différents comptes pour extraire d'autres informations ou réaliser des actions non souhaitées.

    • Par API (et non le screen scraping) avec la plateforme d'échange ou wallet : nous devons donc vous demander une clé API et une clé API secrète (aussi appelée secret key) pour accéder à vos données et créer les fichiers. Pour certaines plateformes, nous avons besoin également d'une "passphrase". Les accès API demandés sont des droits de lecture seule et vous êtes les seuls capables de définir ce que vous souhaitez partager avec Waltio et les permissions associées.

      Si vous respectez notre guide pour chaque API, nous pourrons seulement lire les données de clients, et en aucun cas réaliser des transferts ou retraits.

      Les accès API demandés sont des droits de lecture seule. Ainsi nous pouvons seulement lire les données de clients, et en aucun cas réaliser des transferts ou retraits.

      Waltio devra stocker vos clés dans notre système afin de pouvoir synchroniser vos données de manière récurrente. Toutefois, pas d'inquiétude, ces clés sont stockés sous une forme encryptée dans notre base de donnée. L'accès à cette clé de décryption sera nécessaire pour récupérer vos clés, et l'accès à cette clé est strictement contrôlé. Pour résumer, si un hacker venait à voler notre base de données, aucune inquiétude vos clés ne seront pas accessibles.

Hébergement

  • Les fichiers clients de Waltio sont stockés sur Amazon AWS et plus précisément sur Amazon S3 qui ne peut être atteint seulement qu'avec notre clé AWS. De plus, nous utilisons Amazon KMS pour crypter vos données (chiffrement au repos / encryption at rest). Ensuite, nous utilisons également une base de données avec stockage sur un volume externe. Ce volume est également chiffré de la même manière.

  • L'ensemble de nos serveurs sont aujourd'hui isolés au sein d'AWS Virtual Private Cloud. Cela garantit que l'accès à nos différents services est entièrement protégé et cloisonné. Le seul moyen d'accès aux données est l'utilisation de notre gateway qui est lui protégé par Auth0.

Authentification

  • Nous utilisons la plateforme Auth0 pour l'authentification de nos utilisateurs. Auth0 est l'un des leaders sur ce marché, et fournit le plus haut niveau de sécurité. En utilisant ce système, nous déléguons la vérification de votre identité, et le stockage de mot de passe (si nécessaire). La conséquence directe est qu'il est impossible qu'un vol de mot de passe ait lieu en utilisant Waltio.

  • Auth0 (en utilisant le mécanisme d'authentification OAuth2) protège également l'accès à vos données. Lorsqu'un utilisateur s'authentifie, un token lui est assigné, et ce token est fournit à notre gateway pour valider votre identité. Notre outil peut donc vérifier la validité du token auprès de Auth0 et récupérer votre identité afin de ne partager seulement vos données.

  • De plus, Auth0 fournit tout un ensemble d'outil pour protéger vos accès: (a) Identification de bots malicieux pour éviter les attaques automatiques telles que le "credential stuffing"; (b) Protection contre les "Brute Force Attack" qui essaient d'accéder à vos comptes en essayant de nombreux mots de passe à la suite; (c) Détection des fuites de données d'autres systèmes afin de vérifier si votre mot de passe n'a pas été publié lors de l'attaque d'un autre outil que vous pourriez utiliser.


Données bancaires

  • Lors d'un paiement par carte bancaire, vos données sont aussi gérées par un intermédiaire de paiement par internet, Stripe. Ainsi, Waltio n'a pas accès à vos données bancaires et ne stocke aucune information sur votre méthode de paiement. Encore une fois, il est donc impossible de se faire voler son numéro de carte bancaire en utilisant Waltio.

Anonymat

Si vous souhaitez que ni nous, ni nos sous-traitants puissent vous identifier, c'est possible.

En 2019, 25% de nos clients sont anonymes soit auprès de nous et / ou de nos partenaires (solution d'authentification, de paiement, hébergement de données).

Voici un article pour récapituler les bonnes pratiques pour être anonyme auprès de nos services.

Si vous avez des commentaires ou même recommandations, n'hésitez pas à m'écrire directement à ben@waltio.co 💬

A très vite !

Ben

Avez-vous trouvé votre réponse?