1. Programme de sécurité
Atlantic applique un programme de sécurité fondé sur les risques et adapté au service, comprenant contrôles d’accès, chiffrement lorsque pertinent, développement sécurisé, journalisation, sauvegardes, mises à jour et réponse aux incidents.
2. Contrôle des accès
Les accès par rôles, le cloisonnement des espaces, restrictions administrateur, protections de session et journaux d’audit réduisent les accès non autorisés. Les privilèges sont accordés selon le besoin d’en connaître.
3. Chiffrement et secrets
Les données sensibles de versement sont chiffrées au repos par l’application. Les mots de passe sont hachés. Les secrets et identifiants doivent rester hors des dépôts publics et être renouvelés après toute exposition suspectée.
4. Minimisation et conservation
Collecter moins, séparer les environnements, limiter les copies et supprimer les données obsolètes réduisent le risque. Les gels juridiques et besoins probatoires constituent des exceptions documentées et non une conservation indéfinie par défaut.
5. Réponse aux incidents
Atlantic analyse les incidents suspectés, contient l’exposition, préserve les preuves, restaure les services et effectue les notifications légalement requises selon les données, la juridiction et le risque. Les utilisateurs doivent signaler rapidement toute compromission.
6. Règles de divulgation responsable
Les chercheurs doivent agir de bonne foi, éviter atteintes à la vie privée, ingénierie sociale, persistance, déni de service et destruction de données, et s’arrêter dès la découverte de données sensibles. Une autorisation écrite est requise pour les tests intrusifs.
7. Aucune promesse de sécurité absolue
Aucun système n’est parfaitement sécurisé. Atlantic améliore continuellement ses contrôles mais ne peut garantir la prévention de toute attaque, erreur utilisateur, défaillance de prestataire ou événement de force majeure.


