BLOG
Flinks
FAQ sur la sécurité chez Flinks : tout ce que vous avez toujours voulu savoir

FAQ sur la sécurité chez Flinks : tout ce que vous avez toujours voulu savoir

min read
23 décembre 2019
Simon-Pierre LeBel
TABLE DES MATIÈRES
Voici un texte à l’intérieur d’un bloc div.

Un nombre croissant de banques, fintechs et autres fournisseurs de services financiers font confiance à Flinks pour agréger et enrichir les données financières à leur place. Parce que, comme nous, ils se soucient de leurs clients, il est naturel qu’ils s’assurent que nous traitons les données correctement.

Chaque fois qu’ils ont des questions, nous leur donnons des réponses claires. Et comme nous ne sommes pas gênés, nous avons pensé les partager avec vous aussi.

Gardez cette information pour plus tard.  Téléchargez en PDF.

Liens rapides

Gouvernance

Gestion des données

Sécurité

Conformité et juridique

Gouvernance

Vous gérez des informations sensibles. Comment s’assurer que ça ne soit pas compromis? (En d’autres mots, comment dors-tu bien la nuit?)

Chez Flinks, nous croyons fermement que disposer des meilleures pratiques de sécurité aujourd’hui ne vaut pas grand-chose si elles n’évoluent pas continuellement, à mesure que de nouvelles menaces apparaissent.

Exemple A : la Grande Muraille de Chine. Une ligne de défense incroyable... contre les envahisseurs équiteurs.

Une sécurité efficace commence par une gouvernance efficace.

Notre comité de sécurité et de confidentialité réunit tous les principaux intervenants de Flinks afin de s’assurer que la gouvernance de la sécurité soit un processus continu — et non un événement. Ils se réunissent régulièrement pour :

  • évaluer les risques et les vulnérabilités
  • mettre en place des contrôles appropriés
  • effectuer des audits internes pour s’assurer qu’ils sont efficaces

Ils ont probablement aussi du thé et des biscuits.

À titre d’exemple, voici une version de la stratégie de découverte des vulnérabilités que le comité a mise en place. Il comporte deux composantes principales :

  • Flink scanne. L’équipe SecOps de Flinks utilise des outils de pointe de l’industrie pour effectuer des analyses automatisées et manuelles des vulnérabilités.
  • Des scans tiers. Régulièrement, Flinks oblige un fournisseur tiers à effectuer des tests d’intrusion sur les services et API hébergés par Flinks.

Si une vulnérabilité est découverte, elle est évaluée et traitée selon notre Plan de gestion des vulnérabilités. Les impacts, risques et actions sont documentés pour référence future.

Avec cette structure en place, tout le monde chez Flinks — sauf peut-être notre équipe d’intervention 24/7 — dort comme un bébé. Merci de demander.

Flinks a-t-il un programme documenté de sécurité de l’information en place?

C’est sûr que oui!

Le Comité de sécurité et de confidentialité que nous avons mentionné ci-dessus maintient un programme formel de sécurité de l’information. De plus, tout ce que nous faisons est sous l’œil attentif d’auditeurs indépendants.

Notre plus récent rapport d’audit SOC 2 Type II est exceptionnel.

Si vous avez des questions ou souhaitez en demander une copie, veuillez contacter nos experts en sécurité.

Nos stratégies et documents de sécurité s’inspirent de ISO27001 pour l’ISMS, le NIST pour la sélection des contrôles et ISO21827 pour le modèle de maturité.

Nous examinons constamment le programme pour nous assurer que les mesures de sécurité s’adaptent aux changements et demeurent efficaces et efficientes. On pourrait dire qu’on est là pour le long terme!

Gestion des données

Qu’avez-vous mis en place pour protéger les informations sensibles des utilisateurs finaux?

Les informations des utilisateurs finaux sont les données les plus confidentielles et cruciales que nous traitons.

En ce qui concerne sa protection, nous appliquons des mesures de sécurité et d’isolement de pointe dans l’industrie.

  • Isolement. Chacun de nos clients possède sa propre instance privée et sa base de données sécurisée. Nous utilisons des autorisations basées sur des jetons et d’autres mesures pour nous assurer que toutes les communications clients avec l’API Flinks sont légitimes.
  • Sécurité. Les données sont chiffrées en transit et au repos à l’aide des algorithmes les plus récents, tels que l’AES-256. Les utilisateurs finaux se voient attribuer des clés de chiffrement uniques, qui sont en rotation régulière et automatique.

Regardons cela d’un point de vue plus large : l’ensemble du programme de sécurité, des politiques et des procédures de Flinks sont conçus pour garantir que les informations des utilisateurs finaux restent dans son environnement sécurisé dédié. Point.

Nous soumettons régulièrement nos systèmes, pratiques et procédures de sécurité à des audits internes et externes afin de garantir leur efficacité. Par exemple, Flinks s’associe à un fournisseur de fiducie réputé qui effectue un audit annuel SOC2 Type II sur divers contrôles.

Sécurité

Les employés de Flinks ont-ils accès aux informations des utilisateurs finaux? (Et comment s’assurer qu’ils ne le fassent pas?)

Aucun employé, ni fournisseur tiers d’ailleurs, ne peut accéder de façon significative aux informations de vos utilisateurs finaux — même lorsqu’il y a un objectif légitime.

Voici comment nous l’appliquons :

  • Chiffrement en transit et au repos. Nous nous assurons que toute information sensible ne soit pas lisible par les humains. C’est une façon sophistiquée de dire qu’on chiffre tout ce qui tombe sur nos serveurs. Donc , même si quelqu’un pouvait y accéder, tout ce qu’il verrait, ce sont des caractères absurdes, pas les données réelles qui existent.

    Si ça ressemble à la base de la sécurité des données, faites confiance à votre instinct. Mais même en 2019, les grandes entreprises technologiques stockent parfois des données sensibles en texte clair. Alors oui, on s’occupe des petites choses. Ça construit une base solide.
  • Ségrégation des devoirs et moindre privilège. Ce sont les principes organisateurs que nous utilisons pour contrôler l’accès aux données. Commençons par l’accès au moins de privilèges. Le travail de la plupart des employés de Flinks est bien éloigné des informations réelles des utilisateurs finaux. Par conséquent, ils n’ont pas besoin d’obtenir un accès direct ou indirect aux données.

    Quelques employés doivent travailler plus près des données des utilisateurs finaux. Ils bénéficient du niveau minimum d’accès dont ils ont besoin pour accomplir leurs fonctions. Et c’est là que la séparation des tâches a lieu : nous divisons leurs tâches en parties assignées à différentes personnes, afin de nous assurer que personne ne contrôle seul.

Conformité et juridique

Quels sont les oublis dans ce que vous faites, au niveau fédéral ou provincial?

Malgré l’absence de cadres réglementaires spécifiques concernant le partage des données financières, les agrégateurs de données financières existent depuis presque une génération maintenant. En regardant certains de leurs sites web, on peut vraiment le voir. Plus important encore : ce que nous faisons n’est pas un phénomène nouveau ou marginal.

Aux États-Unis et au Canada, il n’existe pas de cadre bancaire ouvert. Mais cela ne veut pas dire qu’il n’y a pas de réglementation totale sur ce que nous faisons.

Alors que nous attendons que la banque ouverte réglemente spécifiquement le partage des données financières, Flinks fonctionne sous les lois applicables sur la confidentialité et les respecte. Cela inclut la PIPEDA, la loi fédérale canadienne sur la vie privée et la protection des données.

Et non seulement nous surveillons de près le paysage législatif et réglementaire à cet égard; Nous sommes aussi impliqués dans sa rénovation.  Flinks a participé activement à la consultation gouvernementale sur les mérites de la banque ouverte, et suit les diverses autres initiatives gouvernementales qui façonnent actuellement notre futur régime de banque ouverte. Flinks est membre de FDATA Amérique du Nord, et notre PDG siège au Comité consultatif sur l’innovation technologique de l’AMF — les organismes de réglementation des valeurs mobilières du Québec — ainsi qu’au Comité technique des services financiers du Conseil des normes du Canada.

Les consommateurs partagent leurs informations bancaires via Flinks. Ont-ils le droit de faire ça?

Rien n’empêche une personne de partager ses informations bancaires. Pensez-y : les fournisseurs de services vous ont probablement demandé à plusieurs reprises de partager un relevé bancaire avec eux afin d’accéder à leur service. Vous pouvez penser à Flinks simplement comme la façon automatisée, numérique (et sécurisée!) de le faire. De plus, les banques elles-mêmes recueillent les informations de leurs clients à partir de comptes qu’elles détiennent dans d’autres institutions.

Le partage d’informations bancaires et financières est une demande courante aux consommateurs depuis des années. Toutes sortes d’institutions et d’entreprises comptent sur des chèques annulés, des relevés bancaires et des déclarations de revenus pour fonctionner et offrir des services. Trop souvent, de telles informations sensibles sont partagées par courriel — et nous avons entendu parler de moyens de communication encore moins sécurisés utilisés.

Le modèle de Flinks repose sur le consentement des utilisateurs finaux et offre un canal numérique hautement sécurisé pour partager des informations financières.

Posez-nous n’importe quoi

Tu prends la sécurité très au sérieux. Nous aussi.

Si vous souhaitez discuter de quoi que ce soit, nous serions ravis d’avoir de vos avis.

Il suffit de contacter nos experts en sécurité.

Simon-Pierre LeBel

Commencez avec Flinks dès aujourd’hui

Contact Ventes
Articles connexes
La banque ouverte a un calendrier officiel : ce que signifie le lancement du Canada en 2026 pour les fintech et les institutions financières
6 nov. 2025
Le prochain grand bond du Canada : Points clés du Forum Fintech 2025
14 oct. 2025
Transformer la vie quotidienne en économies de la maison : Flinks x Quarters Partnership
7 oct. 2025
Inscrivez-vous à notre infolettre pour des perspectives qui font avancer la finance ouverte.
Merci! Votre soumission a été reçue!
Oups! Quelque chose a mal tourné lors de la soumission du formulaire.