Introduction
Worldline Sips est une solution de paiement de commerce électronique multicanale sécurisée conforme à la norme PCI DSS. Elle vous permet d’accepter et de gérer des transactions de paiement en prenant en compte les règles métier liées à votre activité (paiement à la livraison, paiement différé, paiement récurrent, paiement en plusieurs fois, …).
Notre solution est totalement sécurisée et simple à mettre en œuvre. Elle s’appuie sur un ensemble de composants, technologies et démarches de fonctionnement qui, dans le respect des normes et règlements les plus récents liés à la monétique (RGPD, PCI DSS, normes ISO), en font votre solution de parfaite confiance pour le traitement des données des porteurs de carte.
Sécurisation des données
La solution Worldline Sips est certifiée PCI DSS depuis 2006 et, de par ce standard de sécurité, garantit la protection des données des porteurs de carte.
Elle répond à vos besoins avec un choix d'interfaces sécurisées adaptées à votre activité.
Sécurisation du PAN
La solution Worldline Sips sécurise les données carte par un processus de tokenisation.
Le principe du tokeniser est d’associer un token unique pour un numéro de carte donné : ce token attribué est irréversible et ne permet pas de trouver le numéro de carte.
Le token est un numéro partagé par vous-même et Worldline Sips et remplace le numéro de carte de crédit (PAN) en toute sécurité.
L’utilisation des tokens est une méthode simple qui contribue au respect des normes PCI DSS.
Sécurité des échanges client
Les messages échangés entre vous et Worldline Sips sont signés par des clés de chiffrement.
Les clés de la sécurité Worldline Sips garantissent :
- votre authentification ;
- la demande d'autorisation auprès de la banque du porteur de la carte ;
- la confidentialité des données, qui transitent chiffrées sur l'Internet ;
- l'intégrité des données échangées.
En fonction du type de connecteur utilisé, la sécurisation est soit assurée par une clé secrète (pour connecteurs HTTPS), soit par certificats X509 (utilisés pour sécuriser les connecteurs de type web-service).
Clé secrète
Le chiffrement Worldline Worldline Sips par certificat est utilisé pour sécuriser les échanges de données réalisés via les web-services Worldline Sips.
Ce certificat contient une clé publique et une clé privée :
- les messages sont encryptés avec la clé publique et sont décryptables grâce à la clé privée uniquement ;
- les messages sont signés avec la clé privée, la clé publique permet d’identifier l’envoyeur.
Certificat (X509)
Le chiffrement Worldline Sips par certificat est utilisé pour sécuriser les échanges de données réalisés via les web-services Worldline Sips.
Ce certificat contient une clé publique et une clé privée :
- les messages sont encryptés avec la clé publique et sont décryptables grâce à la clé privée uniquement ;
- les messages sont signés avec la clé privée, la clé publique permet d’identifier l’envoyeur.
Gestion des accès aux interfaces Worldline Sips
Gestion des mots de passe
L’utilisation d’un identifiant et d'un mot de passe permet d’accéder aux interfaces Worldline Sips avec les droits associés. L’utilisateur peut se déconnecter à tout moment. Pour garantir la sécurité de ses utilisateurs, la politique de sécurité mise en place impose les éléments suivants :
- saisie d'un nouveau mot de passe lors de la première connexion ;
- renouvellement fréquent du mot de passe (sa validité étant de trois mois) ;
- le mot de passe doit avoir une longueur minimum de 10 caractères et
comporter obligatoirement :
- au moins un caractère alphabétique,
- au moins un caractère numérique,
- au moins un caractère spécial,
- le mot de passe doit être différent des quatre derniers mots de passe utilisés.
Tous ces éléments contribuent à la sécurisation des données.
Gestion des comptes
Les accès des utilisateurs doivent être personnels et nominatifs, l’utilisation de comptes génériques, c’est-à-dire partagés entre plusieurs utilisateurs, est à proscrire.
Les comptes et les droits d’accès de vos utilisateurs aux interfaces Worldline Sips doivent être revus trimestriellement (Conformité PCI DSS) afin de vous assurer que ces accès sont toujours justifiés. Pour vous aider dans la revue, si vous possédez un grand nombre d’utilisateurs, le service client Worldline Sips peut réaliser pour vous une extraction de la liste de vos comptes et de leurs droits.
En complément de la revue, des actions obligatoires sont à effectuer lors des départs de vos collaborateurs afin de supprimer les accès des partants dans les plus bref délais.
A noter que les comptes utilisateurs qui n’ont pas étés utilisés depuis plus de 3 mois sont automatiquement bloqués, puis supprimés au bout de 6 mois s’ils n’ont pas été réactivés entre temps.
Cloisonnement des commerçants
Mutualisation de la solution
Les moyens sont mutualisés pour l’ensemble des clients des offres Worldline Sips : mêmes bases de données, mêmes serveurs applicatifs.
Cloisonnement
Chaque commerçant est attaché à une offre commerciale qui elle-même est attachée à une offre technique. Une fois passée l’étape de l’authentification à une application, c’est l’application elle-même qui assure le cloisonnement des commerçants et de ses boutiques.
Protocoles de sécurisation
Sécurisation des échanges de fichiers
La sécurisation des échanges de fichiers internes Worldline et externes client est assurée par notre passerelle de transfert de fichiers installée dans une bulle mutualisée soumise à l’ensemble des contraintes et procédures de gestion imposées par le standard PCI DSS.
Les échanges de données par transfert de fichiers sécurisés ou par services Web sécurisés mettent en œuvre :
- une authentification par identification (utilisateur / mot de passe) sur le serveur SFTP (Secure File Transfer Protocol) ;
- une protection des flux échangés par chiffrement SSL/TLS (TLS 1.2) pour les protocoles FTPS et PeSIT ;
- une protection des flux échangés par chiffrement SSH (bi-clés) pour SFTP.
Sécurisation des flux Internet
Les flux de données Worldline Sips échangés via le Web sont sécurisés par l’utilisation du protocole HTTPS en TLS version 1.2.
Pour rappel le protocole HTTP (HyperText Transfer Protocol) qui permet de se connecter à un serveur Web et de faire transiter des données sur le Web n'est pas sécurisé, ce qui signifie qu'un tiers mal intentionné pourrait intercepter et lire lesdites données.
C’est pourquoi Worldline Sips utilise sa variante sécurisée, le protocole HTTPS (Secure HyperText transfer Protocol) qui ajoute un protocole SSL / TLS (Secure Socket Layer / Transport Layer Security) au protocole HTTP. Non seulement ce protocole supplémentaire assure l'intégrité et le chiffrement des données (ce qui les rend illisibles par un tiers) lors de leur transmission, mais il permet également d'authentifier le détenteur d'un certificat SSL / TLS utilisé sur un site Web, via l'apparition d'une icône "cadenas" à côté de l'URL dans le navigateur de l'utilisateur. Cette authentification se fait grâce à l'utilisation d'un certificat numérique X509 délivré par une autorité de certification (AC).
Le protocole TLS est constitué :
- d'une « négociation » entre le client et le serveur
(« handshaking »), phase durant laquelle des algorithmes
cryptographiques (aussi dénommés « suite de chiffrement ») sont négociés
en fonction des possibilités du client et du serveur, avec création
d'une clé de session à l'issue de cette phase ; Note: le serveur et le client sont authentifiés durant cette phase.
- d'une session durant laquelle la clé de session est utilisée pour échanger les données de manière sécurisée.
Disponibilité des services
Architecture
La solution Worldline Sips est déployée en bi-site permettant d’assurer un plan de reprise d’activité sur l’ensemble des couches, système et application.
Chaque composant technique Worldline Sips de chacun des sites ainsi que la plate-forme de transfert de fichiers sont redondés et sont configurés en équilibrage de charge.
Si un équipement unitaire est hors-service, la répartition de charge est automatiquement adaptée en éliminant du flux l'équipement défectueux.
Le plan de reprise d’activité sera déclenché pour faire face à des situations extrêmes de dysfonctionnement : incendie, dégât des eaux, accident majeur, phénomène sismique ou météorologique, crue, défaillance de climatisation, perte d'alimentation électrique, perte des moyens de télécommunication, panne matérielle (DRP), atteinte à la disponibilité du personnel (pandémie par exemple)...
Démarche BCP (Business Continuity Plan)
Pour assurer la reprise ou la continuité des activités critiques, Worldline a mis en œuvre un BCP (Business Continuity Plan).
Ce plan de continuité ne se limite pas à la continuité des services/applications, il prend également en compte le repli des utilisateurs, le risque sanitaire (épidémie, pandémie), l'organisation permettant la gestion de crise (astreintes, cellules de crise...), la communication de crise, des mesures de contournement pour les métiers, des fonctions transverses (RH, logistique).
Des tests de plan de continuité d’activité sont réalisés chaque année et ont pour objectif de tester que toutes les URL de service Worldline Sips soient en capacité d’accueillir l’ensemble des flux sur un même site en cas d’incident majeur.
Utilisation du 3-D Secure
Déployé notamment par Visa, Mastercard, AMEX et Carte Bancaire (CB), 3-D Secure vous permet de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité. On le retrouvera par exemple sous les appellations commerciales Verified By Visa et MasterCard SecureCode.
Pour plus d'informations sur ce service, nous vous invitons à consulter notre guide 3-D Secure.
Lutte contre la fraude
Worldline vous propose une offre de lutte contre la fraude basée sur :
- la gestion en toute autonomie de critères de contrôle de la fraude et, par conséquent, de blocage d'une transaction (solution Go-No-Go) selon vos critères et impératifs métier ;
- l'évaluation de la fiabilité d'une transaction par le calcul d'un score associé à cette transaction (solution Business Score) ;
- la présence d'un système anti-carding afin de lutter contre la génération massive de transactions à l'aide de numéros de carte volés ou générés (le carding).
Certifications et normes
PCI DSS
PCI DSS est un standard de sécurité international dont les objectifs sont d’assurer la confidentialité et l’intégrité des données des porteurs de cartes, et ainsi de sécuriser la protection des données carte et de transaction. Les commerçants ainsi que les prestataires de paiement sont tenus de s’y conformer, à des degrés divers en fonction de l’importance de leur activité.
Worldline est certifié PCI DSS et met en œuvre notamment les actions de sécurité suivantes :
- politique de sécurité du Système d’Information ;
- bâtiments surveillés et protégés par contrôle d’accès ;
- serveurs sécurisés et données sauvegardées ;
- Système d’Information audité régulièrement ;
- centres d’hébergement hautement sécurisés.
Worldline est ainsi responsable de la sécurité des données de porteurs de cartes, en revanche, la société n’est pas responsable de la conformité PCI DSS de ses clients.
Nous vous invitons à évoquer ce sujet avec votre établissement acquéreur.
Vous pouvez télécharger les AOC PCI de Worldline :
SAQ
En tant que marchand vous êtes soumis à des obligations de conformité à PCI-DSS qui dépendent du nombre de transactions que vous traitez par an. Selon le cas, vous serez soit soumis à un audit, soit sollicité par votre banque acquéreur pour compléter un questionnaire d’auto-évaluation (SAQ, Self-Assessment Questionnaire).
Votre démarche vis-à-vis des SAQ se déroule donc en deux étapes :
PREMIÈRE ÉTAPE : DÉTERMINER LE NIVEAU AUQUEL VOUS APPARTENEZ
Que vous acceptiez quelques paiements par carte par an ou plusieurs millions, vous serez classé dans l'un des quatre niveaux suivants définis par les réseaux internationaux.
| Niveau | Type d'activité | Actions requises pour la conformité |
|---|---|---|
| 1 | Tout commerçant traitant plus de 6 millions de transactions
Visa ou Mastercard par an. Tout commerçant ayant subi une
compromission. |
Audit de sécurité sur site (ou SAQ pour Visa
Europe). Scan de vulnérabilité trimestriel (si commerce en
ligne). |
| 2 | Tout commerçant traitant de 1 à 6 millions de transactions Visa ou Mastercard par an. | Questionnaire d'auto-évaluation
annuel. Scan de vulnérabilité trimestriel (si commerce en
ligne). |
| 3 | Tout commerçant traitant de 20 000 à 1 million de transactions Visa ou Mastercard par an. | |
| 4 | Tout commerçant traitant moins de 20 000 transactions de
commerce en ligne Visa ou Mastercard par an. Tous les autres
commerçants traitant jusqu'à 1 million de transactions Visa ou
Mastercard par an. |
Questionnaire d'auto-évaluation annuel. Scan de
vulnérabilité trimestriel recommandé (si commerce en ligne) (cela
dépend si les données sont capturées, stockées ou transmises par
l'infrastructure du commerçant ou par un fournisseur de
services). |
En cas de doute, prenez le nombre de transactions par marque de carte, contactez votre banque acquéreur et demandez la confirmation de votre niveau. Les banques acquéreurs ont le pouvoir de décision ultime sur les niveaux de leurs commerçants, de sorte que vous devez vérifier vos hypothèses avec votre banque.
DEUXIÈME ÉTAPE : DÉTERMINER CE QUE VOUS DEVEZ SOUMETTRE À VALIDATION.
Lorsque vous avez identifié le niveau auquel vous appartenez, vous pourrez déterminer ce que vous devez fournir à votre banque acquéreur.
Si vous êtes de niveau 2 à 4, vous devez remplir un questionnaire d’auto-évaluation adapté à votre activité. Les questionnaires d’auto-évaluation sont des documents contenant une série de questions auxquelles vous devez répondre.
Il existe trois types de SAQ couvrant l'offre Worldline Sips : A, A-EP et D.
| Type de SAQ | Description | Nombre de questions (version
3.2) |
|---|---|---|
| A | Carte non présente : toutes les fonctions de traitement des
paiements sont externalisées, pas de stockage électronique de
données de titulaire de carte. Commerçants sans carte
(commerce électronique ou commande par courrier/téléphone) qui ont
entièrement externalisé toutes les fonctions de données des
titulaires de carte à des fournisseurs de services tiers conformes
à la norme PCI DSS, sans stockage, traitement ou transmission
électronique des données des titulaires de carte sur les systèmes
ou dans les locaux du commerçant. |
22 |
| A-EP | E-commerce redirigé vers un tiers, fournisseur de services
conforme PCI pour le traitement des paiements, pas de stockage
électronique de données de titulaire de carte. Commerçants de
commerce électronique qui sous-traitent tout le traitement des
paiements à des tiers validés PCI DSS et qui ont un ou plusieurs
sites Web qui ne reçoivent pas directement les données des
titulaires de carte mais qui peuvent avoir un impact sur la
sécurité de la transaction de paiement. Aucun stockage, traitement
ou transmission électronique des données des titulaires de carte
sur les systèmes ou dans les locaux du commerçant. |
193 |
| D-commerçant | Tous les autres commerçants ou ceux qui stockent électroniquement les données des titulaires de cartes. | 331 |
RGPD
Le RGPD (Règlement Général sur la Protection des Données) est un règlement mis en place par l'Union Européenne afin d'encadrer la collecte et le traitement des données à caractère personnel en Europe.
Il a pour missions de renforcer les droits des individus, de responsabiliser les différentes parties prenantes vis-à-vis du traitement des données et de crédibiliser la règlementation mise en place. Il s'inscrit en cela dans la continuité des missions de la CNIL (Commission nationale de l'informatique et des libertés), organisme administratif français créé en 1978 pour garantir le respect de la vie privée lors du traitement informatique des données personnelles.
En revanche, le RGPD met fin aux obligations antérieures de déclaration préalable auprès de ladite CNIL, puisque celle-ci peut désormais effectuer des contrôles à tout moment.
Pour garantir et prouver sa conformité en matière de protection des données personnelles, Worldline a suivi et mis en œuvre les 6 étapes-conseils de la CNIL :
- nommer un délégué à la protection des données ;
- cartographier les traitements des données ;
- définir les actions correctives ;
- analyser / gérer les risques ;
- établir des procédures internes ;
- documenter la conformité.
Enjeux
Dans le cadre de l'offre Worldline Sips, Worldline a un rôle de sous-traitant (au sens du RGPD, autrement appelé « data processor »), pour le compte de ses clients, qui eux sont responsables de traitement (au sens du RGPD, autrement appelé « data controller »).
Les enjeux sont :
- de combattre la cyber-malveillance sous toutes ses formes, notamment le détournement d'e-mail, le vol de cookie de navigation, la propagation de fichiers malicieux, le vol de coordonnées bancaires, les rançongiciels.
- de veiller à ce que ces données, en cas de vol, soient inexploitables et donc incomplètes ou cryptées.
Il s'agit donc de protéger les personnes concernées par un traitement approprié de leurs données à caractère personnel et de responsabiliser les acteurs de ce traitement.
Enjeux commerçant
Les données à caractère personnel que vous pouvez être amené à collecter et/ou à traiter sont des données permettant d'identifier directement ou indirectement un individu :
- exemples de données directes : nom, prénom ;
- exemples de données indirectes : identifiant de connexion, adresse IP, numéro de téléphone, e-mail.
Certaines de ces données sont dites « sensibles » : IBAN, numéro de sécurité sociale, numéro de carte bancaire par exemple.
en tant que commerçant, vous êtes responsable des données que vous collectez et/ou traitez. Vous devez donc effectuer une analyse de risque et étudier la manière de sécuriser ces données.
Champs libres : les champs libre doivent uniquement être utilisés pour l’usage prévu (ex. customerId, orderId), et par conséquent vous ne devez pas y insérer des données à caractère personnel, et plus particulièrement des données de porteur de carte. En cas de non-respect de cette consigne Worldline ne serait être tenu responsable d’un point de vu légal, de tout incident qui pourrait survenir.
En tant que sous-traitant, Worldline traite les données à caractère personnel conformément aux Conditions de Traitement des Données à Caractère Personnel (CTDCP), annexées à tous les contrats.
Ainsi :
- Les données personnelles prévues par le CTDCP doivent uniquement être transmises à Worldline au travers des champs prévus à cet effet (cf. dictionnaire des données).
- Toutes autres données à caractère personnel non listées dans le CTDCP ne doivent pas être transmises à Worldline.
Enjeux Worldline
En sa qualité de sous-traitant, Worldline s'est engagée à :
- traiter les données à caractère personnel aux seules fins de la bonne exécution des services ;
- mettre en œuvre des standards de sécurité afin de fournir un haut niveau de sécurisation à nos services ;
- vous notifier dans les meilleurs délais en cas de violation de données ;
- vous aider à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de nos services.
Liste des cookies Worldline Sips
Voici la liste des traceurs utilisés au seins des interfaces Worldline Sips :
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| PAYPAGE_SESSIONID | Cookie | Traceur « nécessaire » | Permet de retrouver la session de paiement de l’acheteur. | Session de paiement | Aucun |
| respctx | Cookie | Traceur « nécessaire » | Cookie ajouté par l'équipement réseau, permet de sécurisé les requêtes. | Session de paiement | Aucun |
| respctx | Session storage | Traceur « nécessaire » | Cette variable est enregistrée dans le stockage de la session du browser permet de rediriger le navigateur vers le site marchand à l’origine de la demande de paiement. | Session de paiement | Aucun |
| X-SDPX-PID (Ajout en Janv. 2022) | Cookie | Traceur « nécessaire » | Permet de stocker l'identifiant associé à la demande de paiement dans les logs. Permet d'identifier les resources fournies par les apaches (images / JS) et de suivre les requêtes d'une même demande de paiement | Session de paiement | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| SOE_SESSIONID | Cookie | Traceur « nécessaire » | Permet de retrouver la session de l’utilisateur. | Session de l'utilisateur | Aucun |
| TSxxxxxxxx | Cookie | Traceur « nécessaire » | Cookie ajouté par l'équipement réseau, permet de sécurisé les requêtes. | Session de l'utilisateur | Aucun |
| Style | Cookie | Traceur « nécessaire » | Permet de retenir le choix user de style | 1 an | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| MEX_SESSIONID | Cookie | Traceur « nécessaire » | Permet de retrouver la session de l’utilisateur (cookie générique). | Session de l'utilisateur | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| MEX_SESSIONID | Cookie | Traceur « nécessaire » | Permet de retrouver la session de l’utilisateur (cookie générique). | Session de l'utilisateur | Aucun |
| _mc_data | Cookie | Traceur « nécessaire » | Permet de retrouver des informations du marchand précédemment sélectionné | 2 min | Aucun |
| o_data | Cookie | Traceur « nécessaire » | Permet de retrouver l’offre courante | 1 semaine | Aucun |
| _static_page_generator_mode | Cookie | Traceur « nécessaire » | Permet de distinguer le mode « SIMPLE » ou « EXPERT » | 1 semaine | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| FRAUD_SESSIONID | Cookie | Traceur « nécessaire » | Permet de retrouver la session de l’utilisateur (cookie générique). | Session de l'utilisateur | Aucun |
| GUIFRAUD_CSRF-TOKEN | Cookie | Traceur « nécessaire » | Permet de sécuriser les appels REST grâce à un token | Durée de la session | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| DWNLD_SESSIONID | Cookie | Traceur « nécessaire » | Permet de retrouver la session de l’utilisateur. | Session de l'utilisateur | Aucun |
| DWNLD3_CSRF-TOKEN | Cookie | Traceur « nécessaire » | Permet de sécuriser les appels REST grâce à un token | Session de l'utilisateur | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | FInalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
|
deviceContext | Traceur « technique » | Permet de résoudre les incidents en cas de problème technique | 190 jours | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | Finalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
|
deviceContext | Traceur « technique » | Permet de résoudre les incidents en cas de problème technique | 190 jours | Aucun |
| Nom du traceur | Nature du traceur | Type du traceur | Finalité | Durée de conservation | Prestataire |
|---|---|---|---|---|---|
| acceptHeader | Browser | Traceur « technique » | Contenus acceptés par le navigateur - Calcul de scoring, lutte contre la fraud | Session de paiement | DS/ACS |
| ip | Browser | Traceur « technique » | Ip de l'utilisateur - Calcul de scoring, lutte contre la fraud | Session de paiement | DS/ACS |
| javaEnabled | Browser | Traceur « technique » | Activation de javascript dans le navigateur - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
| language | Browser | Traceur « technique » | Langue du navigateur - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
| colorDepth | Browser | Traceur « technique » | Profondeur de couleur - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
| screenHeight | Browser | Traceur « technique » | Taille d’écran - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
| screenWidth | Browser | Traceur « technique » | Taille d’écran - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
| tz | Browser | Traceur « technique » | Fuseau horaire - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
| userAgent | Browser | Traceur « technique » | UserAgent utilisé par le navigateur - Calcul de scoring, lutte contre la fraude | Session de paiement | DS/ACS |
Autres certifications Worldline
ISO 27001
La norme ISO 27001 est le standard internationalement reconnu pour le management de la sécurité de l’information dans les entreprises. Les audits de sécurité sont généralement construits autour de cette norme.
Elle décrit les exigences de mise en place d'un système de management de la sécurité de l'information (SMSI).
Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l'organisme.
L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique.
La certification 27001 s’effectue avec un auditeur externe Ernst & Young.
ISO 9001
La norme ISO 9001 est une norme internationale de management de la qualité, utilisable par tous les organismes.
Elle spécifie les exigences de mise en oeuvre d'un système de management de la qualité, exigences à utiliser en interne ou à des fins de certification ou contractuelles. Cette norme porte essentiellement sur l'efficacité du système de management de la qualité à satisfaire les exigences des clients.
La certification 9001 s’effectue avec un auditeur externe Ernst & Young.
ISO 14001
La norme ISO 14001 est une norme internationale qui spécifie les exigences concernant les systèmes de management environnemental. Elle est à destination des organismes souhaitant améliorer leurs performances et atteindre leurs objectifs en matière d'environnement et de développement durable, en d'autres termes maîtriser et gérer de manière systématique leur impact sur l'environnement.
La certification 14001 s’effectue avec un auditeur externe Ernst & Young.
Bancontact Payconiq
Dans le cadre de l’acceptation des moyens de paiement Bancontact (Belgique), Worldline Sips fait l’objet d’une certification de conformité aux exigences de sécurité Bancontact.
L’audit de certification est réalisé par la société Galitt et Bancontact.
A l’issue de l’audit, l’attestation de certification « Full Security Certification » est délivrée par Bancontact.
