Sécurité

Arkipel est une plateforme de Toucan Solutions Inc. Cette page décrit comment nous protégeons vos données.

Vos données transitent par HTTPS

Toutes les communications entre vous et Arkipel sont chiffrées et transmises via HTTPS (TLS). Aucune donnée n’est envoyée en clair sur le réseau.

Où sont stockées vos données

Vos données sont actuellement hébergées sur les serveurs de Digital Ocean, dont les centres de données se situent au Canada (Toronto). L’emplacement d’hébergement de chaque communauté peut varier selon les besoins de l’organisation cliente ; Arkipel peut être déployé dans d’autres juridictions (notamment les États-Unis ou l’Europe) le cas échéant. Dans tous les cas, vos données demeurent régies par la présente politique et par les lois applicables à la juridiction d’hébergement.

Nos bases de données applicatives ne sont pas chiffrées au repos — les informations que vous ajoutez à la plateforme sont actives dans nos bases de données et bénéficient des mêmes mesures de protection et de surveillance que le reste de nos systèmes. Les champs sensibles, tels que les clés privées de signature numérique, sont chiffrés au niveau applicatif. Les fichiers que vous téléversez sont stockés sur disque ou sur un service de stockage cloud et ne sont pas chiffrés au repos. Nos sauvegardes de base de données sont chiffrées.

Sauvegardes et résilience

Les données de production sont sauvegardées au moins toutes les 24 heures, avec des copies redondantes stockées de manière sécuritaire. Notre objectif de point de récupération (RPO) est de moins de 24 heures de perte de données. En cas d’incident, nous disposons de procédures de reprise d’activité pour restaurer l’accès rapidement.

Contrôle d’accès

Chaque utilisateur dispose d’un accès basé sur ses rôles et permissions au sein de son réseau. Les sessions sont protégées contre les attaques courantes (CSRF, fixation de session, rejeu). Les mots de passe sont hachés avec bcrypt.

Accès interne

Un nombre restreint d’employés de Toucan Solutions (équipe DevOps) peut accéder aux données de production pour le support technique et la maintenance. Pour le développement, nous utilisons des jeux de données anonymisés. Nous sommes en cours de mise en place d’un journal d’accès aux serveurs pour fins de traçabilité. Aucun employé n’accède aux données sans motif professionnel légitime.

Souveraineté des données

Contrairement aux plateformes centralisées traditionnelles, Arkipel garantit que chaque communauté conserve la propriété et le contrôle de ses données. Vos informations ne sont ni vendues, ni partagées avec des tiers, ni utilisées à des fins publicitaires.

Mises à jour de sécurité

Nos serveurs et nos dépendances sont mis à jour régulièrement avec les derniers correctifs de sécurité. Les correctifs pour les vulnérabilités critiques sont appliqués dans un délai maximal de 72 heures.

Surveillance continue

Nous surveillons la disponibilité de la plateforme, les exceptions, les performances et les journaux via AppSignal. Nous n’utilisons pas actuellement de système de détection d’intrusion (IDS), mais nous travaillons à renforcer nos capacités de surveillance.

Notifications en cas d’incident

À ce jour, nous n’avons jamais subi de violation de données. Si une violation de données impliquant des renseignements personnels devait survenir, Toucan Solutions s’engage à aviser les utilisateurs concernés ainsi que les autorités réglementaires compétentes (notamment la Commission d’accès à l’information du Québec) dans un délai maximal de 72 heures.

Signalement de vulnérabilités

Si vous découvrez une vulnérabilité de sécurité sur notre plateforme, nous vous encourageons à nous en informer immédiatement à security@arkipel.co. Nous traitons tous les signalements avec la plus grande attention et reconnaissons les contributions de la communauté à la sécurité de nos services.

Vous voulez en savoir plus ?

Pour toute question supplémentaire sur nos pratiques de sécurité, contactez-nous via notre page Contact.