Sécurité de la plateforme

La sécurité de votre argent et de vos données est notre priorité absolue. Validel gère chaque mois des millions de francs CFA pour le compte de marchandes — nous prenons cette responsabilité très au sérieux. Cette page détaille les mesures techniques et organisationnelles que nous mettons en œuvre.

1Chiffrement des communications

Toutes les communications entre votre appareil et nos serveurs sont chiffrées de bout en bout avec les standards les plus modernes :

• TLS 1.3 obligatoire pour toutes les connexions API et web (TLS 1.2 minimum pour compatibilité legacy)
• HSTS activé (HTTP Strict Transport Security) avec preload — impossible de revenir en HTTP non chiffré
• Certificate pinning sur les applications mobiles iOS et Android — résistance aux attaques man-in-the-middle
• Perfect Forward Secrecy — même si une clé est compromise, les communications passées restent illisibles

2Chiffrement au repos

Vos données stockées sur nos serveurs sont chiffrées :

• Bases de données PostgreSQL chiffrées par AES-256 au niveau disque
• Stockage objet S3 chiffré par défaut
• Sauvegardes chiffrées avec clés rotatives stockées hors-bande
• Logs serveurs anonymisés et chiffrés

3Authentification & gestion des accès

3.1 Comptes marchands

• Mots de passe stockés avec bcrypt (cost factor 12) — jamais en clair, jamais dans les logs
• Vérification par SMS du numéro de téléphone à l'inscription
• Authentification à deux facteurs (2FA) disponible — fortement recommandée sur Pro et Premium
• Sessions expirées automatiquement après 30 jours d'inactivité
• Notification immédiate en cas de connexion depuis un nouvel appareil ou une nouvelle localisation
• Verrouillage temporaire du compte après 5 tentatives de connexion infructueuses

3.2 Sécurité de la page de paiement client

• Chaque lien de paiement est un token UUID v4 à usage unique (impossible à deviner, 122 bits d'entropie)
• Validité limitée à 30 minutes — passé ce délai, le lien est invalidé automatiquement
• Aucun identifiant de commande exposé dans l'URL — protection contre l'énumération
• Vérification HMAC sur tous les webhooks Wave et Orange Money

4Sécurité des versements

• Vérification SMS double (ancien + nouveau numéro) pour tout changement de bénéficiaire
• Délai de carence de 24 heures après changement — pendant lequel les versements sont mis en pause
• Confirmation par email pour toute opération sensible (versement supérieur à 500 000 F CFA)
• Détection automatique des transactions atypiques (montants anormaux, fréquences inhabituelles)
• Audit complet de chaque transaction : qui, quand, montant, référence, IP, appareil

5Infrastructure & hébergement

• Hébergement principal : OVH (Roubaix, France) — datacenters certifiés ISO 27001, SOC 2 Type II
• Hébergement secondaire et résilience : partenaire local au Sénégal
• Sauvegardes quotidiennes, chiffrées, conservées 30 jours en rotation
• Réplication synchrone multi-zones pour la base de données
• RTO (Recovery Time Objective) : 4 heures · RPO (Recovery Point Objective) : 15 minutes
• Surveillance 24/7 avec alertes en cas d'anomalie (CPU, latence, erreurs HTTP, etc.)

6Audits et tests d'intrusion

Validel fait l'objet de revues de sécurité régulières par des tiers indépendants :

• Tests d'intrusion (pentests) semestriels par un cabinet externe certifié
• Revue de code de sécurité avant chaque mise en production majeure
• Scans de vulnérabilités automatiques hebdomadaires (Dependabot, Snyk)
• Audit RGPD annuel par un cabinet juridique européen

7Programme de bug bounty

Règles à respecter :

• Ne pas porter atteinte aux données réelles des utilisateurs
• Ne pas dégrader le service (pas de DoS, pas de spam)
• Nous laisser 90 jours pour corriger avant publication
• Pas d'exploitation à des fins personnelles ou de profit

Domaines dans le périmètre : app.validel.com, pay.validel.com, api.validel.com, applications mobiles iOS et Android.

8Conformité réglementaire

• RGPD (Règlement Général sur la Protection des Données — UE)
• Loi 2008-12 du 25 janvier 2008 sur la protection des données personnelles (Sénégal)
• Lignes directrices de la BCEAO en matière de paiements électroniques (zone UEMOA)
• Recommandations de la CDP (Commission de protection des Données Personnelles, Sénégal)
• Bonnes pratiques OWASP Top 10 appliquées au développement

9Gestion des incidents

En cas d'incident de sécurité affectant vos données, nous nous engageons à :

• Vous notifier dans un délai maximum de 72 heures, conformément au RGPD
• Vous expliquer clairement la nature de l'incident et son impact
• Communiquer les mesures prises pour résoudre la situation et prévenir une récidive
• Notifier l'autorité de protection des données compétente

Pour suivre l'état de nos services en temps réel : status.validel.com

10Vos bonnes pratiques

Votre sécurité dépend aussi de vous. Nous recommandons :

• Activez la 2FA dès maintenant dans les paramètres de votre compte
• Choisissez un mot de passe fort et unique (12 caractères minimum, mélange de lettres, chiffres et symboles)
• Ne partagez jamais vos identifiants Validel — notre support ne vous les demandera jamais
• Méfiez-vous du phishing — vérifiez toujours que vous êtes sur validel.com avant de saisir vos identifiants
• Maintenez l'app à jour — chaque version apporte des correctifs de sécurité
• Vérifiez vos appareils connectés régulièrement (Paramètres → Sécurité → Appareils)