Comment nous protégeons vos données d'affaires. Réponses claires, sans jargon marketing.
TLS 1.3 en transit, AES-256 au repos. Tout le trafic est servi en HTTPS via Cloudflare.
Le contrôle d'accès est appliqué dans la base de données, pas seulement dans l'application. Chaque requête est limitée à votre espace de travail et à votre rôle.
Propriétaires, administrateurs et membres voient seulement ce à quoi ils ont droit. Les rôles vivent dans une table dédiée pour empêcher toute élévation de privilège.
Les données de carte ne touchent jamais nos serveurs. Les paiements sont gérés par Paddle, marchand officiel certifié PCI-DSS niveau 1.
La base de données est sauvegardée automatiquement aux 24 heures, avec récupération ponctuelle disponible.
Infrastructure conforme RGPD et Loi 25. Résidence des données disponible au Canada, aux États-Unis ou dans l'UE.
Les actions sensibles - connexions, changements de rôle, événements de facturation, exports - sont enregistrées dans un journal en ajout seul.
Les mots de passe sont vérifiés contre la base Have I Been Pwned à l'inscription et au changement. Les mots de passe compromis sont refusés.
2FA TOTP optionnelle via toute application d'authentification (Google Authenticator, 1Password, Authy). Activation depuis Paramètres → Sécurité.
Nous vous envoyons un courriel lors de connexions depuis de nouvelles IP, de changements de mot de passe et d'activations/désactivations de 2FA, pour rendre tout piratage visible immédiatement.
Téléchargez une copie JSON de votre profil et des données que vous avez créées en tout temps depuis Paramètres → Sécurité. Conforme RGPD et Loi 25.
Supprimez votre compte depuis Paramètres → Sécurité. Les espaces de travail solo sont retirés ; les sauvegardes sont purgées sous 90 jours.
Pour les équipes avec des exigences internes de sécurité ou d'approvisionnement.
Connexion via Okta, Azure AD / Entra ID, Google Workspace ou tout fournisseur SAML 2.0. Disponible sur demande pour les forfaits Pro et Conseil.
Entente conforme RGPD et Loi 25 disponible pour tous les forfaits payants. Écrivez-nous et nous vous l'envoyons la journée même.
Les propriétaires peuvent exporter le journal d'audit de l'espace de travail en CSV pour leurs revues de conformité internes.
Services tiers utilisés pour livrer Autopilot. Chacun applique ses propres contrôles de sécurité.
| Service | Finalité | Région |
|---|---|---|
| Supabase | Base de données, authentification, stockage | UE / É.-U. |
| Cloudflare | CDN, protection DDoS, runtime edge | Mondial |
| Paddle | Paiements, taxes, facturation (marchand officiel) | Mondial |
| Resend | Courriels transactionnels | É.-U. / UE |
| Lovable | Hébergement de l'application | UE / É.-U. |
Pas encore. SOC 2 Type I est sur notre feuille de route et sera entrepris lorsque la demande entreprise le justifiera. Nos fournisseurs d'infrastructure (Supabase, Cloudflare, Paddle) sont certifiés SOC 2 Type II, et nos contrôles de sécurité sont conçus pour être prêts SOC 2.
Dans des bases de données chiffrées sur l'infrastructure AWS gérée par Supabase. Régions Canada, États-Unis et UE disponibles. Écrivez-nous avant l'inscription si vous avez besoin d'une région précise.
Oui. Vous pouvez exporter vos données en tout temps depuis les Paramètres. La suppression du compte retire vos données de manière permanente sous 30 jours, et les sauvegardes sont purgées sous 90 jours.
Écrivez à security@arcset.ca. Nous répondons dans un jour ouvrable.