Politique de sécurité
Dernière mise à jour : 21 février 2026
Inopay applique une posture de sécurité multicouche, alignée sur les standards de l'industrie. Aucune information sensible n'est conservée hors nécessité opérationnelle ou réglementaire.
Non-custodial par construction
Inopay ne touche jamais ni les fonds ni les titres. Les flux vont du PSP à la SGI agréée. Voir le centre de confiance pour le schéma complet.
En savoir plusChiffrement TLS 1.3 + AES-256-GCM
Tous les flux applicatifs sont chiffrés en TLS 1.3 minimum. Les données au repos sont chiffrées en AES-256-GCM avec rotation de clés gérée.
Signatures Ed25519
Les attestations KYC et les snapshots d'audit sont signés Ed25519. Vérifiables hors-ligne par n'importe quel intégrateur ou régulateur.
En savoir plusDivulgation responsable
Nous accueillons les rapports de sécurité externes via une procédure formalisée. Reconnaissance publique sur demande du chercheur.
Procédure de divulgation responsable
Tout chercheur en sécurité peut nous signaler une vulnérabilité de manière confidentielle. Nous nous engageons à ne pas poursuivre judiciairement les recherches menées de bonne foi, dans le respect du périmètre publié et sans atteinte aux données utilisateur. Merci de ne pas divulguer publiquement la vulnérabilité avant correction.
Contact : security@getinopay.com
SLA de réponse
Accusé de réception sous 48 h ouvrées. Qualification initiale sous 5 jours ouvrés. Correction des vulnérabilités critiques sous 14 jours. Communication de fin de traitement au reporter dans tous les cas.
Bug bounty
Un programme de bug bounty formel est en cours de structuration. Les chercheurs ayant contribué pendant la phase de divulgation responsable seront invités prioritairement. Détails à publier sur cette page.