Transmission sécurisée
Toutes les requêtes doivent impérativement être envoyées via HTTPS.- HTTP (non sécurisé) n’est pas supporté en production.
- HTTPS garantit que :
- La clé API n’est pas interceptée sur le réseau.
- Les données sensibles des transactions (montant, destination, etc.) restent confidentielles.
Protection des clés API
La clé API est sensible et doit être stockée en secret, jamais exposée côté frontend ou dans des logs accessibles publiquement.Restriction d’accès par adresse IP
Whitelist IP
Activation
La restriction d’accès par adresse IP est possible. Fournissez la liste des IP à autoriser via les groupes dédiés (WhatsApp).
Demande
Contactez le support via Whatsapp ou sur le mail du support avec la liste complète des adresses IP et l’identification de votre compte.
Blacklist IP
Gestion multi-clés API
Plusieurs clés API
Il est possible de disposer de plusieurs clés API. Le client gère l’utilisation des clés librement selon ses besoins (environnements séparés, applications distinctes).
Pour obtenir des clés API supplémentaires, contactez le support KAYBIC AFRICA via les canaux dédiés.
Audit et monitoring de sécurité
Monitoring recommandé :- Volume de transactions anormal
- Erreurs répétées
- Tentatives d’accès suspectes
- Utilisation de clés API.
Bonnes pratiques recommandées
| Bonnes pratiques | Description |
|---|---|
| HTTPS | Toutes les requêtes doivent passer par HTTPS |
| Stockage sécurisé | Variables d’environnement Testeur d’API ou gestionnaire de secrets côté serveur |
| Rotation des clés | Renouveler la clé API régulièrement pour limiter l’impact d’une éventuelle compromission |
| Ne pas exposer la clé côté frontend | Toutes les transactions doivent passer par un serveur intermédiaire pour sécuriser la clé |
| Whitelist IP | Demander l’activation de la whitelist IP pour restreindre l’accès à vos serveurs uniquement |
| Ne jamais loguer la clé | Logs côté serveur ou console ne doivent jamais afficher la clé API |