Connexion ScotiaConnect : Protocoles de sécurité

Modèle d'authentification

Chaque connexion ScotiaConnect commence par la vérification des identifiants — un identifiant utilisateur associé à un mot de passe — mais ce n'est que la première porte. La plateforme défie immédiatement l'utilisateur avec un deuxième facteur : un jeton matériel RSA SecurID, un jeton logiciel sur l'application mobile, ou un certificat numérique installé sur le poste de travail.

Le jeton RSA génère un nouveau code à six chiffres toutes les soixante secondes. Ce code est dérivé mathématiquement d'une graine unique à chaque jeton et synchronisée avec le serveur d'authentification de ScotiaConnect. Même si un attaquant intercepte le code, il expire avant de pouvoir être rejoué.

Pour l'authentification par certificat, ScotiaConnect émet des certificats X.509 via une autorité de certification privée. Le certificat est lié à un appareil spécifique, ce qui signifie qu'une tentative de connexion depuis un ordinateur non autorisé déclenche un blocage complet plutôt qu'un simple défi supplémentaire.

Filtrage IP et géo-clôture

Au-delà de la vérification d'identité, la connexion ScotiaConnect examine le réseau d'origine de la requête. Vous pouvez définir une liste blanche d'adresses IP approuvées — bureaux et points de sortie VPN — et ScotiaConnect rejettera les tentatives de connexion provenant de toute adresse extérieure à cette liste.

La géo-clôture ajoute une dimension géographique. Si votre entreprise opère exclusivement au Canada, vous pouvez configurer ScotiaConnect pour bloquer les requêtes d'authentification provenant d'adresses IP géolocalisées hors des frontières canadiennes.

Double autorisation des paiements

Le modèle de gouvernance des paiements de ScotiaConnect impose la séparation des tâches au niveau transactionnel. Pour tout paiement dépassant un seuil configurable, la plateforme exige deux utilisateurs distincts : l'un pour initier et l'autre pour approuver. Ce modèle M-of-N peut être étendu pour exiger trois approbateurs ou plus pour les paiements au-delà d'un seuil supérieur.

Tous les événements de paiement — initiation, approbation, rejet et libération — sont enregistrés de manière permanente dans la piste d'audit, créant une chaîne de responsabilité ininterrompue conforme aux exigences SOX, LPRPDE et BSIF.

Surveillance des sessions

Une fois authentifiée, la session ScotiaConnect est surveillée en continu par un moteur d'analyse comportementale. Le moteur profile les schémas d'utilisation normaux et signale les anomalies statistiques pour examen. Si un utilisateur qui se connecte habituellement à 9 h depuis Toronto initie soudainement une session à 3 h depuis une adresse IP étrangère, le système peut automatiquement rétrograder la session en mode lecture seule et alerter l'AP.