INOPAY
CENTRE DE CONFIANCE

Conçu pour passer les directions juridiques et les régulateurs

Architecture non-custodial documentée, sécurité auditable, conformité publique. Inopay ne touche jamais ni les fonds ni les actifs.

Architecture non-custodial

Les fonds clients transitent du PSP vers la SGI agréée puis vers le marché. Inopay n'est jamais sur le chemin des flux fiduciaires : nous transmettons des instructions signées.

PSP / wallet clientSGI agréée segregatedMarché (BRVM, BVMAC, GSE)Flux fonds + titresInopay (orchestration)Instructions signées Ed25519
  • Les fonds vont du PSP vers le compte segregated SGI, jamais vers un compte Inopay.
  • Les titres sont inscrits chez la SGI au nom de l'utilisateur final, conformément à la réglementation locale.
  • Inopay émet uniquement des instructions signées cryptographiquement, vérifiables hors-ligne.
  • Aucun mandat de gestion, aucune position propre, aucune garde d'actifs côté Inopay.

Sécurité

Sécurité bout-en-bout sur les communications, le stockage et la chaîne de signatures.

Chiffrement en transit

TLS 1.3 imposé sur tous les endpoints publics. HSTS preload, certificate pinning sur les SDK natifs.

Chiffrement au repos

AES-256-GCM pour les données sensibles. Clés gérées par KMS, rotation automatique, séparation des environnements.

Audits & certifications

Audits sécurité trimestriels par cabinets indépendants. Certification ISO 27001 visée pour 2026.

Assurance & continuité

Police cyber dédiée, plan de continuité testé semestriellement, RTO et RPO publiés en mémo signé.

Conformité régionale

Trois régulateurs, une seule doctrine publique. Mise à jour en continu, accessible aux directions juridiques et aux régulateurs eux-mêmes.

CREPMFUEMOA / BRVM — prestataire technique d'intermédiation, ordres exécutés par les SGI agréées.Lire le détail COSUMAFCEMAC / BVMAC — articulation avec les SGI agréées, position publique d'Inopay.Lire le détail SEC GHANAGhana / GSE — articulation avec les Licensed Dealing Members, version anglaise complète disponible.Lire le détail
Voir la doctrine complète

Partenariats SGI

Discussions en cours avec plusieurs SGI agréées dans les trois zones (UEMOA, CEMAC, Ghana). Annonces officielles dès la signature du premier pilote.

Transparence par audit chaîné

Chaque ordre routé est hashé et chaîné au précédent. Le hash racine quotidien est ancré publiquement. Vous pouvez vérifier vous-même qu'aucun ordre n'a été modifié a posteriori.

1. Empreinte par ordre

Chaque ordre génère un hash SHA-256 incluant l'horodatage, le payload signé et le hash de l'ordre précédent.

2. Ancrage quotidien

Le hash racine de la journée est publié, signé Ed25519 et ancré sur un registre public consultable.

3. Vérification hors-ligne

Outil CLI open source pour rejouer la chaîne et confirmer l'intégrité des hashes sur n'importe quelle période.

Voir l'audit public

Programme bug bounty

Programme public en préparation. En attendant l'ouverture officielle, les chercheurs en sécurité peuvent contacter directement notre équipe pour signaler une vulnérabilité, sous accord de divulgation coordonnée.

Divulgation responsablesecurity@getinopay.com
Signaler une vulnérabilité

Contacts confiance

Équipe sécuritésecurity@getinopay.com
Équipe conformitécompliance@getinopay.com
Délégué à la protection des donnéesdpo@getinopay.com

Vos auditeurs ont des questions ?

Envoyez-nous votre check-list de due diligence. Nous répondons document par document, signé par notre équipe conformité.

Demander un audit