Les numéros de carte n'atteignent jamais les serveurs Mercanta — ils vont directement à Stripe via Stripe Elements. Ce choix architectural unique nous maintient hors du périmètre PCI-DSS Niveau 1 et réduit drastiquement ce qu'un attaquant pourrait nous dérober. Le reste de cette page décrit ce que nous faisons pour tout le reste. Mercanta n'est pas une institution de paiement régulée. Tous les paiements, payouts et fonctions merchant-of-record sont assurés par Stripe, Inc.
Les clients saisissent leurs détails carte dans des iframes servies directement par Stripe (js.stripe.com). Les données vont vers l'environnement PCI-DSS Niveau 1 de Stripe sans transiter par nos serveurs. Nous ne recevons que la référence PaymentMethod tokenisée par Stripe.
Conformément aux règles PCI, personne ne stocke le CVV. Nous ne le voyons pas, Stripe ne le stocke pas. Il est utilisé une seule fois à l'autorisation puis détruit.
Les coordonnées de virement SEPA et ACH sont collectées via Stripe Financial Connections (Plaid sous-jacent) et stockées chez Stripe.
Mercanta ne détient à aucun moment les fonds clients. Stripe vous verse directement sur votre compte bancaire selon le calendrier de payout que vous configurez. Tous les paiements, payouts et fonctions merchant-of-record sont assurés par Stripe, Inc.
HTTPS-only sur tous les sous-domaines. HSTS avec includeSubDomains et preload. Cible SSL Labs A+ sur tous les endpoints publics.
Toutes les bases de données et stockage objet sont chiffrés au repos avec des clés AWS-managées (KMS). Les snapshots de sauvegarde héritent de la même politique de clé.
Clés d'API, secrets de signature et identifiants de base de données résident dans AWS Secrets Manager avec rotation automatisée. Aucun secret dans le code source. Hooks pré-commit pour scanner les fuites.
Chaque webhook sortant est signé avec un secret propre au marchand. Protection contre le replay via tolérance temporelle. Vérification de signature à temps constant dans tous nos SDKs.
Chaque membre de Mercanta s'authentifie via Google Workspace SSO avec une clé de sécurité hardware (FIDO2 / YubiKey). L'accès production est basé sur les rôles, just-in-time, et tracé en audit.
Les utilisateurs du dashboard peuvent (et devront, sur Maison et Sur-mesure) activer le MFA TOTP ou les passkeys WebAuthn. Les codes de récupération sont générés et affichés une seule fois.
Clés API restreintes avec permissions au niveau ressource. Clés séparées par environnement (test / production). Rotation en un clic ; révocation immédiate.
Chaque appel API, chaque action dashboard, chaque accès employé aux données production est logué avec acteur, IP et timestamp. Journaux immuables, conservés au minimum 1 an.
Revue par les pairs obligatoire sur chaque PR. SAST et scan de vulnérabilités sur les dépendances à chaque commit. Prévention des fuites de secrets dans les hooks pré-commit. Les déploiements production sont conditionnés à un build vert.
Test d'intrusion annuel par un tiers, planifié pour commencer dans les 90 jours suivant la disponibilité générale. Les résultats sont publiés dans notre rapport de sécurité aux clients Sur-mesure sous NDA.
WAF, détection d'anomalies sur le trafic API, alertes sur les activités dashboard suspectes. Rotation PagerDuty pour les événements de sévérité élevée.
Si un incident de sécurité affecte des données marchand, nous notifions les clients concernés sans retard injustifié (sous 72h lorsque le RGPD s'applique). Un post-mortem est rédigé pour chaque incident Sév-1.
Nous accueillons et encourageons la recherche de sécurité responsable. Si vous avez découvert une vulnérabilité dans Mercanta, signalez-la à contact@mercanta.io avec autant de détails que possible : endpoint affecté, étapes de reproduction, impact, et votre correctif suggéré le cas échéant.
Ce que nous vous demandons :
Ce que nous nous engageons à faire :
contact@mercanta.io
Clé PGP disponible sur demande.
Pour les sujets non-sécurité, utilisez plutôt notre formulaire de contact.