Sécurité & Conformité

Sécurité enterprise

10 standards de conformité : Loi 25 · PIPEDA · CASL · TCPA · OSFI B-13 · SOC 2 · ISO 27001 · PCI DSS · GDPR · HIPAA. Hébergement Canada. AES-256 partout. Audit chain SHA-256 immutable.

Hébergement CanadaAES-256 partoutAudit chain SHA-256

10 standards conformité

Compliance multi-domaines cartographiée

De la Loi 25 québécoise aux standards internationaux : chaque exigence est tracée jusqu'à son contrôle technique et son journal d'audit.

Loi 25 (Québec)

ConformeApplicable : Entreprises au Québec

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (en vigueur depuis 2022).

  • Consentement express collecte (art. 8) — express consent IP/UA loggé
  • Notification de violation 72h (art. 18.3) — pipeline incident automatisé
  • Droit d'effacement (art. 25) — endpoint unifié cross-modules
  • Évaluation facteurs vie privée (art. 12.1) — DPIA template fourni
  • Hébergement Canada (Railway Montréal)
  • Backup chiffré EU (Backblaze B2 Helsinki) — pas de US transfer
  • Sanctions évitées : jusqu'à 25M $ ou 4% chiffre d'affaires mondial

PIPEDA (fédéral)

ConformeApplicable : Toute entreprise Canada

Personal Information Protection and Electronic Documents Act — loi canadienne fédérale.

  • 10 principes équitables d'information
  • Limitation collecte + utilisation + divulgation
  • Sauvegardes appropriées (encryption AES-256)
  • Accès individuel + contestation
  • Plaintes au Commissariat à la protection de la vie privée
  • Right-to-be-forgotten implémenté
  • Audit logs immuables (AOpsAuditChainEntry)

CASL (anti-spam Canada)

ConformeApplicable : Email / SMS marketing

Canadian Anti-Spam Legislation (2014) — opt-in obligatoire + unsubscribe + identification expéditeur.

  • Express consent records (ConsentRecord model)
  • Implicit consent tracking (existing relationship)
  • Unsubscribe header sur chaque email (List-Unsubscribe)
  • Identification claire expéditeur
  • SMS opt-out tracking (SmsOptOut model)
  • Penalties évitées : jusqu'à 10M $ entreprise / 1M $ individu

TCPA (USA)

ConformeApplicable : Clients US — appels et SMS

Telephone Consumer Protection Act — restrictions appels automatisés et SMS aux États-Unis.

  • DNC (Do Not Call List) check automatique
  • Manual touch tracking (tcpa-manual-touch.ts)
  • Express written consent before auto-dialing
  • Calling hours restrictions (8am-9pm local)
  • Identification appelant obligatoire
  • Opt-out STOP immediate processing
  • Penalties évitées : jusqu'à 1500 $ par violation

OSFI B-13 (BSIF Canada)

ConformeApplicable : Institutions financières fédérales

Lignes directrices du Bureau du surintendant des institutions financières concernant la gestion du risque technologique et cyber.

  • MFA obligatoire admin (§4.2)
  • RBAC least privilege (§4.3)
  • Session timeout 15-30 min (§4.4)
  • Audit trails complets (§5.1)
  • Encryption at rest + in transit (§3)
  • Incident response 24h (§7)
  • Third-party risk management (B-10)

SOC 2 Type II

En coursApplicable : Clients enterprise (requis par Chubb, iA, AXA, banques)

Service Organization Control 2 — audit indépendant 5 Trust Service Criteria.

  • Security (CC1-CC9) — En conformité
  • Availability (A1) — 99.5% SLA Business+
  • Confidentiality (C1) — AES-256 partout
  • Processing Integrity (PI1) — Audit chain SHA-256
  • Privacy (P1-P8) — Loi 25 + PIPEDA aligned
  • Certification Q3 2026 (audit indépendant Big 4)
  • Pre-audit checklist 100% pass

ISO 27001:2022

En coursApplicable : Standards internationaux sécurité

International Organization for Standardization — Information Security Management System (ISMS).

  • ISMS implémenté selon annexe A (93 contrôles)
  • Risk assessment + treatment documented
  • Statement of Applicability (SoA) finalisé
  • Internal audit annuel programmé
  • Management review trimestriel
  • Certification Q4 2026 (organisme accrédité)
  • Mappable vers Loi 25, PIPEDA, SOC 2

PCI DSS v4.0

ConformeApplicable : Acceptation cartes de paiement

Payment Card Industry Data Security Standard — protection données titulaires cartes.

  • Stripe tokenization (PAN jamais stocké)
  • Aucune donnée carte transitant nos serveurs
  • Stripe SAQ A (lowest scope merchant)
  • Webhooks signed + verifiés
  • Pause recording auto pendant saisie carte VoIP
  • Annual review compliance

GDPR (UE)

ConformeApplicable : Clients Union européenne

General Data Protection Regulation (2018) — protection données personnelles UE.

  • Right-to-be-forgotten (art. 17) — endpoint unifié
  • Data portability (art. 20) — exports JSON/CSV
  • Privacy by design + default (art. 25)
  • DPA signed avec sous-traitants (Resend, Stripe, etc.)
  • Data Protection Officer (DPO) designated
  • Breach notification 72h (art. 33)
  • Privacy notice transparent + multilingue
  • Backups EU (Backblaze B2 Helsinki)

HIPAA (santé US)

ConformeApplicable : Données de santé US (Heritex Health roadmap)

Health Insurance Portability and Accountability Act — protection PHI (Protected Health Information).

  • Encryption AES-256 at rest + in transit
  • Access controls strict (RBAC)
  • Audit logs complets (qui a accédé quoi quand)
  • Business Associate Agreement (BAA) available
  • Breach notification protocol
  • Minimum necessary principle
  • Heritex Health module disponible Q4 2026

Architecture technique

Six couches de défense

Chaque domaine de la sécurité applicative est verrouillé par défaut. Aucune option à activer, aucun supplément. Les contrôles sont déjà en place.

Encryption

  • AES-256-GCM at rest (PostgreSQL TDE + Backblaze B2)
  • TLS 1.3 in transit (Railway + Cloudflare)
  • Field-level encryption (PII : phone, birthDate, address)
  • Key rotation mechanism (180 jours secrets)
  • Customer-managed keys (CMEK) Enterprise tier
  • Backup encryption AES-256

Authentication

  • MFA obligatoire admin (TOTP + WebAuthn/FIDO2)
  • Session timeout 15-30 min
  • Brute-force protection (progressive delay)
  • Account enumeration prevention
  • OAuth state parameter + PKCE
  • Geographic anomaly detection
  • Refresh token rotation

Access Control

  • RBAC least privilege
  • JIT access pour privileges élevés
  • 4-eyes / 6-eyes / step-up approval
  • Multi-tenant isolation stricte (Prisma middleware)
  • Super-admin bypass loggué (audit trail)
  • API keys per-tenant + rotation
  • Service account isolation

Audit & Forensique

  • AOpsAuditChainEntry SHA-256 immutable
  • Monotonic sequence numbers
  • PreviousHash chain (tamper-evident)
  • Signed by actors (Ed25519)
  • Indexes (tenantId, eventType, createdAt)
  • Export forensique (CSV/JSON + hash verify)
  • Retention configurable per tenant

OWASP Top 10

  • Injection prevention (Prisma parameterized)
  • XSS prevention (React escape + DOMPurify)
  • CSRF tokens sur mutations
  • Rate limiting endpoints publics
  • Auth verifications systématiques
  • Cookies __Secure + httpOnly + sameSite
  • Content Security Policy (CSP nonce-based)
  • HSTS + preload

Monitoring & Détection

  • Sentry error tracking
  • Anomaly detection (fraud, churn signals)
  • Real-time alerts critique
  • OpenTelemetry traces
  • Log scrubbing (no PII in logs)
  • Failed login monitoring
  • VoIP toll fraud detection

Audit chain SHA-256

Journal d'événements tamper-evident

Chaque action critique est chaînée cryptographiquement. Toute modification rétroactive casse la chaîne — détectable instantanément lors du forensic export.

Seq #001

TenantCreated

Provisioning initial Heritex Business tenant

PreviousHash

a3f1e2b8c9d4f5e6a7b8c9d0

Seq #002

AdminLoginMFA

Authentification admin TOTP + WebAuthn validated

PreviousHash

b7c2a3d4e5f6a7b8c9d0e1f2

Seq #003

CustomerExport

Export PII (Loi 25 art. 27) — JSON + hash verify

PreviousHash

c5d6e7f8a9b0c1d2e3f4a5b6

Seq #004

StripePaymentCaptured

Webhook signed + verified · Order #4521 · 1 250 $ CAD

PreviousHash

d9e0f1a2b3c4d5e6f7a8b9c0

AOpsAuditChainEntry

Sequence number monotonique · PreviousHash chaîné SHA-256 · Signature Ed25519 par acteur · Index (tenantId, eventType, createdAt) · Retention configurable par tenant · Export forensique CSV/JSON avec hash verify.

Souveraineté des données

Vos données restent au Canada

Hébergement primaire Railway Montréal. Backups chiffrés Backblaze B2 Helsinki EU. Aucun transfert vers États-Unis. Conforme Loi 25 et PIPEDA pour les transferts cross-border interdits.

Primary DB

Railway Montréal

Backups

Backblaze B2 Helsinki EU

Compute

Vercel Edge (Montréal pop)

CDN

Cloudflare Canada

Documentation compliance

Besoin de documentation détaillée ?

Recevez le pack complet : architecture diagram, DPA template, security whitepaper, audit reports. Préparé pour vos décideurs technique et compliance.