Aller au contenu principal
    SandPay
    OpérateursFonctionnalitésAPITarifsFAQ
    Se connecterDémarrer

    Sécurité

    Dernière mise à jour : 4 juin 2026

    La sécurité est au cœur d'un sandbox auquel les développeurs peuvent se fier. Cette page résume comment nous protégeons le Service et vos données.

    1. Chiffrement

    Tout le trafic est servi via HTTPS/TLS, et les données au repos sont chiffrées par notre fournisseur d'infrastructure. Les mots de passe ne sont jamais stockés en clair — seules des valeurs salées et hachées sont conservées.

    2. Authentification et contrôle d'accès

    Les comptes prennent en charge l'email/mot de passe et le SSO Google. L'accès aux environnements et aux données est rattaché à votre organisation et à ses rôles, et l'accès interne aux systèmes de production est restreint selon le moindre privilège et le besoin d'en connaître.

    3. Clés d'API et identifiants

    Les clés d'API sont rattachées à un environnement et affichées une seule fois. Gardez-les côté serveur — jamais dans le code client ou mobile, et jamais commitées dans un dépôt. Vous pouvez renouveler ou révoquer vos clés à tout moment depuis votre tableau de bord.

    4. Signature des webhooks

    Chaque webhook est signé par une signature HMAC. Vérifiez toujours l'en-tête X-SandPay-Signature avant de faire confiance à un événement, et rejetez toute requête dont la signature ou l'horodatage n'est pas valide.

    5. Isolation du sandbox

    SandPay est un sandbox : toutes les transactions, soldes et numéros sont fictifs et aucun argent réel n'est jamais déplacé, vos fonds de production ne sont donc jamais exposés. Chaque combinaison pays + opérateur est un environnement isolé, avec ses propres clés et données.

    6. Sous-traitants

    Nous nous appuyons sur Stripe (paiements), Supabase (base de données et authentification), Resend (emails transactionnels) et Sentry (surveillance des erreurs). Les données partagées avec chacun se limitent à ce qui est strictement nécessaire au fonctionnement du Service, dans le cadre d'accords de protection des données.

    7. Surveillance et journalisation

    Les requêtes, transactions et livraisons de webhooks sont journalisées afin que vous puissiez les auditer et les rejouer. Nous surveillons les erreurs et la disponibilité et examinons les logs à la recherche d'activités suspectes, afin de détecter et de traiter rapidement les incidents.

    8. Sauvegardes et disponibilité

    Notre base de données est sauvegardée régulièrement par notre fournisseur d'infrastructure, et nous visons une haute disponibilité de l'API. L'état du service en temps réel est publié sur status.sandpay.dev.

    9. Divulgation responsable

    Vous avez trouvé une faille ? Écrivez à security@sandpay.dev avec les détails et les étapes de reproduction. Nous accuserons réception de votre signalement, vous tiendrons informé de notre avancement, et ne poursuivrons pas les chercheurs de bonne foi qui respectent cette politique et évitent toute atteinte à la vie privée ou interruption de service.

    SandPay

    Codez une fois. Testez partout.

    Le sandbox Mobile Money pour les développeurs d'Afrique. Testez vos paiements avant qu'ils ne comptent.

    Produit
    • Fonctionnalités
    • Opérateurs
    • API
    • Tarifs
    Développeurs
    • Documentation
    • Référence API
    • SDKNode
    • Statut
    Légal
    • Confidentialité
    • CGU
    • Sécurité
    © 2026 SandPay · Une initiative DrwinTechapi.sandpay.dev