Outre les mesures de sécurité déjà mises en place pour assurer la fiabilité du système par l’équipe FedaPay, voici quelques recommandations à votre endroit. Il est important que vous sécurisiez votre application, plateforme ou système dans lequel vous décidez d’intégrer FedaPay.

Utilisation du TLS / HTTPS

TLS (Transport Layer Security) fait référence au processus de transmission sécurisée de données entre le client (l'application ou le navigateur que votre client utilise) et votre serveur. Cela a été effectué à l'origine en utilisant le protocole SSL (Secure Sockets Layer). Cependant, celui-ci est dépassé, n'est plus sécurisé et a été remplacé par TLS. Le terme «SSL» continue à être utilisé familièrement lorsqu'il fait référence au protocole TLS et à sa fonction de protection des données transmises.

Les pages de paiement doivent utiliser une version moderne de TLS (par exemple, TLS 1.2), car elle réduit considérablement le risque que vous ou vos clients soient exposés à une cyber-attaque. TLS tente d'accomplir ce qui suit:

  • Chiffrer et vérifier l'intégrité du trafic entre le client et votre serveur;
  • Vérifier que le client communique avec le bon serveur.

En pratique, cela signifie généralement que le propriétaire du domaine et le propriétaire du serveur sont la même entité. Cela permet d'éviter les cyber-attaques. Sans cela, il n'y a aucune garantie que vous cryptez le trafic vers le bon destinataire.

De plus, vos clients sont plus à l'aise pour partager des informations sensibles sur des pages visiblement diffusées via HTTPS, ce qui peut contribuer à augmenter le taux de conversion de vos clients. Si besoin est, vous pouvez tester votre intégration sans utiliser HTTPS, et l'activer une fois que vous êtes prêt à passer en production. Cependant, toutes les interactions entre votre serveur et FedaPay doivent utiliser TLS 1.2 (c'est-à-dire, lorsque vous utilisez nos librairies).

Mise en place du TLS/HTTPS

Un certificat numérique, fichier émis par une autorité de certification (CA) est nécessaire pour utiliser TLS. Une fois installé, ce certificat assure au client qu'il communique réellement avec le serveur qu’il devrait et non avec un imposteur. Vous devriez opter pour un certificat numérique d'un fournisseur de certificat réputé, tel que:

Les certificats peuvent varier en termes de coût, en fonction du type de certificat et du fournisseur. Let's Encrypt est une autorité de certification qui fournit des certificats gratuitement.

Conceptuellement, la configuration de TLS est très simple: un certificat est acheté auprès d'un fournisseur approprié, puis votre serveur est configuré pour l'utiliser. Le processus réel a tendance à être quelque peu complexe et nous vous recommandons de suivre le guide d'installation du fournisseur que vous utilisez.

Comme TLS est une suite complexe d'outils cryptographiques, il est facile de manquer quelques détails. Nous vous recommandons d'utiliser le test SSL Server de Qualys SSL Labs pour vous assurer que tout est configuré de manière sécurisée.