Centre de confiance Inopay

Comment vos fonds et vos données sont protégés, comment nos SGI partenaires sont vérifiées, et comment vous pouvez auditer n'importe quelle attestation émise par la plateforme.

Architecture Sécurité Régulation Vérifier une attestation Trust registry

1Architecture non-custodial

Inopay n'est jamais dépositaire de vos fonds ni de vos titres. Voici le flux exact à chaque ordre passé depuis la plateforme.

InvestisseurValidation de l'ordre

→

CinetPay · PaystackRail de paiement agréé

→

SGI agrééeCompte-titres à votre nom

Inopay orchestre l'ordre, appelle l'API de la SGI et scelle cryptographiquement l'historique — sans jamais détenir les fonds. En cas d'arrêt d'Inopay, vos titres restent à votre nom au Dépositaire Central. Ils sont transférables sur demande vers n'importe quelle autre SGI agréée.

2Sécurité opérationnelle

Les mesures concrètes appliquées à la plateforme, au code, aux données et aux accès internes.

Chiffrement en transit et au repos

TLS 1.3 exclusivement pour les communications. AES-256-GCM pour le stockage, avec rotation trimestrielle des clés via HashiCorp Vault.

Signatures Ed25519 offline

Chaque attestation KYC est signée cryptographiquement. La clé publique est accessible à /.well-known/inopay-kyc-pubkey.pem pour une vérification sans appel réseau.

Audit trail append-only

Chaque action sensible (soumission KYC, consentement, accès SGI, révocation) est écrite dans un registre chaîné par hash, impossible à modifier a posteriori. Conservation 5 ans.

MFA obligatoire pour les admins

Accès plateforme interne protégé par TOTP (niveau AAL2). Aucun accès direct aux données en production sans double authentification.

Hébergement souverain

Infrastructure hébergée en Europe et en Afrique de l'Ouest. Pas de dépendance Lovable, pas de Supabase cloud. Code source et données sous contrôle direct.

Pentests réguliers

Analyses automatiques (nmap, nikto, nuclei, trivy) + revue de code avant chaque release majeure. Divulgation responsable publique à security@getinopay.com.

3Régulation & conformité

Inopay évolue dans le respect strict des cadres régulatoires des trois marchés couverts. Chaque SGI partenaire doit détenir une licence en cours de validité.

CREPMF

UEMOA

Conseil Régional de l'Épargne Publique et des Marchés Financiers. Régulateur du marché BRVM pour les 8 pays de l'Union Monétaire Ouest-Africaine.

COSUMAF

CEMAC

Commission de Surveillance du Marché Financier de l'Afrique Centrale. Régulateur du marché BVMAC pour les 6 pays de la Communauté Économique d'Afrique Centrale.

SEC Ghana

Ghana

Securities and Exchange Commission of Ghana. Régulateur du marché GSE et des LDM brokers habilités à exécuter pour les investisseurs étrangers.

Roadmap d'agrément Inopay

Nous déposerons un dossier d'agrément "prestataire de services KYC mutualisé et de routage d'ordres" auprès du CREPMF à échéance 18 mois à compter du lancement commercial. Le calendrier détaillé et les étapes intermédiaires (advisory board, audits, ISO 27001) sont partagés trimestriellement avec les SGI partenaires via l'espace dédié.

4Vérifier une attestation

Chaque SGI partenaire peut vérifier l'authenticité d'une attestation KYC émise par Inopay sans même appeler notre API, grâce à notre clé publique Ed25519.

Payload JSON canonique Signature base64

Clé publique Inopay (inopay-kyc-v1) -----BEGIN PUBLIC KEY----- MCowBQYDK2VwAyEAStd6+a3SZQ9IakZRdmsC+6nwgLUezoModTB0Vaud2WE= -----END PUBLIC KEY-----

Pour une vérification programmatique, l'endpoint POST /v1/kyc/verify-attestation renvoie le même résultat. La clé est publiée à l'URL https://api.getinopay.com/.well-known/inopay-kyc-pubkey.pem.

5Trust registry SGI partenaires

Liste publique des SGI et brokers partenaires, avec leur statut d'intégration et leur licence régulatoire. Mise à jour en temps réel.

SGI en production

Liste publique disponible à /trust-registry. Chaque entrée affiche le numéro d'agrément, le pays, les marchés couverts et la date du dernier audit.

SGI en phase pilote

Les intégrations en cours (sandbox + UAT) sont visibles dans une section séparée du registre. Aucune transaction réelle tant que le go-live n'est pas annoncé.

Exclusions

Toute SGI dont la licence est suspendue ou qui enfreint nos standards de sécurité est immédiatement retirée du registre. L'historique de révocations est public.

Divulgation responsable de vulnérabilités

Vous avez découvert une faille ou un comportement suspect ? Contactez notre équipe sécurité. Nous accusons réception sous 24 h et publions les correctifs avec reconnaissance publique si vous le souhaitez.

security@getinopay.com