Meilleures pratiques de sécurité

Ce guide a comme objectif de fournir aux commerçants Affirm les meilleures pratiques pour protéger de manière proactive les données importantes lors de l'utilisation des services.

Aperçu

La sécurité d'information est un effort commun entre Affirm et ses partenaires. Ce guide propose des stratégies précises et réalisables pour renforcer votre position en matière de sécurité, couvrant des domaines, comme la gestion des comptes d'utilisateurs, les processus d'authentification et la gestion des secrets. En mettant en œuvre ces mesures, vous contribuez de manière significative à la protection de votre entreprise et de nos clients communs.


Comptes du Portail Commerçant

Protégez vos comptes du Portail Commerçant contre les accès non autorisés et les abus.

Déterminer les utilisateurs appropriés

Tous les utilisateurs et tous les comptes d'utilisateurs doivent être valides, à jour et conformes à la politique de l'entreprise.

Veuillez consulter les éléments ci-dessous pour connaître les pratiques exemplaires en matière de gestion des utilisateurs :

  • Confirmer que l'accès utilisateur est approprié et conforme. Plus précisément, vous devriez avoir des procédures d'intégration de nouveaux utilisateurs qui comprennent :
    • Confirmation qu'ils sont des employés ou des entrepreneurs, c'est-à-dire des représentants légaux appropriés de l'entreprise ayant un besoin commercial légitime d'accéder au contenu du portail.
    • Fournir une formation de sensibilisation à la sécurité et une formation à la protection de la vie privée afin que les utilisateurs comprennent la manière de traiter et de protéger l'information importante avant d'accéder au portail.
  • Prévenir l'utilisation abusive de comptes inactifs en :
    • Désactivant ou en supprimant l'accès en cas de cessation d'emploi ou de changement de rôle.
    • Examinant régulièrement les comptes d'utilisateurs pour identifier et supprimer ceux qui sont inactifs.

Identifier clairement les utilisateurs

Une gestion proactive et approfondie des identités constitue votre base pour prévenir et atténuer les violations de données potentielles et les perturbations de votre activité. Portez une attention particulière à toutes les identités utilisées pour le Portail du commerçant, y compris les alias de courrier électronique :

  • Sont associés à un employé individuel (c.-à-d. aucun compte partagé).
  • Sont uniques et ne sont pas réutilisés après le départ de l’employé.
  • Avoir un domaine valide qui est, dans la mesure du possible, associé spécifiquement et sans ambiguïté à votre entité commerciale légale, par ex. [courriel protégé] pour Exemple, Inc.

Vérifier soigneusement les identités des utilisateurs

Protégez-vous contre les piratages de compte dans le Portail du commerçant en renforçant vos méthodes d'authentification. Actuellement, Affirm prend en charge Google SSO et les mots de passe. Veiller à ce que :

  • Activez l'authentification multifactorielle (MFA) : avec l'authentification multifactorielle, même si un pirate obtient votre mot de passe, il a toujours besoin d'un deuxième facteur pour accéder à votre compte. Pour Google SSO, MFA doit être configuré sur la plateforme Google. Pour l’authentification par mot de passe, vous devez choisir un deuxième facteur.
  • Meilleures pratiques de mot de passe
    • Unique : Créez un mot de passe unique pour chaque compte en ligne que vous possédez. La réutilisation des mots de passe sur plusieurs comptes augmente le risque de faille de sécurité. Si un compte est compromis, les pirates peuvent potentiellement accéder à d'autres comptes pour lesquels le même mot de passe est utilisé.
    • Longueur : les mots de passe longs sont généralement plus sûrs que les mots de passe courts. Visez une longueur minimale de mot de passe d'au moins 15 caractères. Les mots de passe plus longs offrent une sécurité accrue contre les attaques par force brute, où les attaquants tentent de deviner le mot de passe à l'aide de diverses combinaisons de caractères.
    • Complexe : créez des mots de passe comprenant une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Évitez d'utiliser de l'information facile à deviner, comme le nom de votre entreprise, votre nom, votre date de naissance ou des mots courants.

Sécurité des secrets

En tant que commerçant avec Affirm, vous avez des secrets qui sont essentiels pour permettre notre partenariat. Voici quelques exemples de secrets : les clés API privées que nous générons en votre nom, vos propres clés privées utilisées pour le décryptage des données que nous partageons avec vous, ou les mots de passe utilisés pour accéder à nos systèmes ou à nos données. Dans tous ces cas, il est essentiel pour nous deux de préserver la sécurité et la confidentialité de ces secrets, afin d'éviter toute utilisation non autorisée ou toute perturbation des services.

Veuillez passer en revue les étapes critiques suivantes, afin de vous assurer que vous utilisez les meilleures pratiques :

  • Utilisez des solutions de stockage cryptées : évitez de conserver les secrets directement dans des référentiels de code, des fichiers de configuration ou du code côté client où ils peuvent être facilement accessibles ou compromis. Utilisez plutôt des solutions de stockage sécurisées, comme les systèmes de gestion des clés (KMS), les gestionnaires de secrets ou les bases de données cryptées.
  • Limiter l'accès : Limitez l'accès aux secrets aux seules personnes autorisées qui en ont besoin à des fins de développement, de déploiement ou d'entretien. Mettre en place des contrôles d'accès stricts et des autorisations basées sur les rôles, afin de restreindre l'accès aux clés en fonction des rôles et des responsabilités professionnelles.
  • Partagez vos secrets de façon sécuritaire : lorsque vous transmettez des secrets, veillez à ce qu'ils soient transmis de manière sécurisée sur des canaux cryptés, comme HTTPS (HTTP Secure). Évitez de transmettre des clés par des canaux de communication non sécurisés tels que le courriel ou le protocole HTTP non crypté.

En savoir plus

Visitez notre portail de confiance ici pour en savoir plus sur l'approche d'Affirm en matière de sécurité.