Checkify
Confiance et sécurité

Sécurité

Checkify est conçu pour réduire l'exposition des données dès sa conception : les données personnelles restent sur l'appareil de l'utilisateur et les entreprises peuvent les vérifier sans devenir dépositaires de données à long terme.

Contrôles de sécurité Divulgation responsable

Cette page décrit notre approche de sécurité à un niveau élevé. Les contrôles exacts peuvent varier en fonction des exigences de déploiement et d'intégration.

Principes de sécurité

Minimiser la conservation des données

Utilisation par défaut de preuves (par exemple, « Plus de 18 ») plutôt que de données personnelles brutes. Les utilisateurs doivent consentir explicitement à tout partage de données.

Authentification forte

Les identités liées aux appareils, la protection biométrique/PIN et les jetons à durée limitée réduisent le risque de prise de contrôle et de relecture du compte.

Défense en profondeur

Contrôles en couches sur le stockage des appareils, la cryptographie, la sécurité du transport, les protections des serveurs et l'auditabilité.

Contrôles clés

Conçu pour une vérification axée sur la confidentialité

1) Stockage sur l'appareil d'abord

  • Les données personnelles sont stockées par défaut sur l'appareil de l'utilisateur.
  • Protégées par le stockage sécurisé du système d'exploitation et les mécanismes de verrouillage de l'appareil.
  • Accès sécurisé par code PIN et contrôles biométriques lorsque pris en charge.

2) Cryptographie et intégrité

  • Les demandes et les réponses sont signées pour les rendre inviolables.
  • Les requêtes limitées dans le temps réduisent le risque de relecture.
  • Les ID de référence permettent la traçabilité sans exposer de données inutiles.

3) Sécurité du transport

  • Trafic chiffré en transit (TLS) pour les flux d'applications, API et de tableau de bord.
  • La portée des jetons et leur courte durée de vie réduisent l'exposition en cas d'interception.
  • Validation stricte des demandes et vérification des signatures côté serveur.

4) Authentification et autorisation

  • Sessions basées sur JWT pour les API et accès au tableau de bord de l'entreprise.
  • Accès basé sur les rôles pour les actions commerciales (par exemple, créer des demandes, afficher les journaux).
  • Actions commerciales liées à une identité d'utilisateur vérifiée.

5) Journalisation prête pour l'audit

  • Les événements incluent des horodatages, des résultats et des références aux demandes/réponses.
  • Conçu pour les enquêtes et la conformité reporting.
  • Les journaux évitent les données personnelles inutiles dans la mesure du possible.

6) Renforcement de la plate-forme

  • Limitation du débit et prévention des abus sur les points finaux sensibles.
  • Surveillance et alerte en cas d'activité inhabituelle.
  • Mises à jour régulières des dépendances et examen de la sécurité des flux critiques.

Divulgation sélective (ce que les entreprises peuvent demander)

Les entreprises peuvent demander des preuves spécifiques (par exemple, seuil d'âge, résidence, éligibilité) et éventuellement demander des points de données spécifiques. Les utilisateurs voient la demande complète et doivent consentir explicitement avant que quoi que ce soit ne soit partagé. Checkify est conçu pour prendre en charge les flux de preuve d'abord afin de minimiser l'exposition des données.

Les menaces que nous concevons contre

Les abus de relecture et QR

Les demandes expirantes, la vérification du serveur et les charges utiles signées réduisent la valeur des codes copiés/transférés.

Rachat de compte

L'identité liée à l'appareil + les contrôles biométriques/PIN + les jetons de courte durée aident à empêcher les accès non autorisés.

La surcollecte de données

Les flux de preuve d'abord et le consentement explicite réduisent la probabilité que des données sensibles soient stockées là où elles ne sont pas nécessaires.

FAQ sur la sécurité

Stockez-vous des données personnelles sur vos serveurs ?

Checkify est conçu pour les données personnelles restent par défaut sur l'appareil de l'utilisateur. Lorsque des données côté serveur sont requises pour des raisons opérationnelles (par exemple, des événements d'audit, des références de demande), nous minimisons les données personnelles et nous concentrons sur les preuves et les métadonnées.

Une entreprise peut-elle demander des détails utilisateur spécifiques ?

Oui : les entreprises peuvent demander des preuves spécifiques et, si nécessaire, des points de données spécifiques. Les utilisateurs examinent chaque demande et doivent consentir explicitement avant que quoi que ce soit ne soit partagé.

Comment empêcher la falsification ?

Les demandes et les réponses sont conçues pour être vérifiables cryptographiquement, limitées dans le temps et validées par le destinataire. Cela rend la falsification détectable et réduit la valeur de relecture.

Divulgation responsable

Si vous pensez avoir trouvé une faille de sécurité, veuillez la signaler de manière responsable. Nous examinerons les rapports dans les plus brefs délais et travaillerons avec vous pour valider et résoudre les problèmes.

Comment signaler

  • E-mail : security@checkify.me (recommandé)
  • Inclure les étapes de reproduction, d'impact et toute preuve à l'appui
  • Veuillez éviter d'accéder ou de modifier les données réelles des utilisateurs.

Que se passe-t-il ensuite

  • Nous accusons réception et trions le rapport
  • Nous validons, corrigeons et déployons les mesures d'atténuation appropriées
  • Nous pouvons coordonner le calendrier de divulgation publique si nécessaire

Vous n'avez pas encore d'e-mail de sécurité dédié ? Remplacez-le par une adresse surveillée que vous contrôlez.