Documentation de sécurité et conformité
Tout ce dont vos équipes TI et d'approvisionnement ont besoin pour évaluer Paliero selon les exigences du secteur public canadien. Pour de la documentation supplémentaire à l'appui d'une évaluation formelle de sécurité, contactez-nous.
1. Résidence et souveraineté des données
Où vivent vos données
Toutes les données de Paliero sont hébergées sur l'infrastructure Supabase dans la région de Montréal (ca-central-1). Cela inclut les comptes utilisateurs et les données d'authentification, tout le contenu des tests créés par les évaluateurs, toutes les réponses et soumissions des candidats, tous les enregistrements audio et productions écrites, toutes les données de correction et les rapports finaux, ainsi que tous les journaux d'audit et les enregistrements administratifs.
Aucun transfert transfrontalier de données
Aucune donnée de Paliero n'est traitée, stockée ou transmise hors du territoire canadien, en aucune circonstance. Cela inclut les systèmes de sauvegarde, la redondance, la récupération après sinistre et l'analytique. Nous n'utilisons aucun sous-traitant qui opère hors du Canada pour le traitement des données.
Le CLOUD Act américain et pourquoi cela compte
De nombreuses plateformes SaaS « canadiennes » utilisent une infrastructure infonuagique contrôlée par les États-Unis qui, malgré l'hébergement physique au Canada, expose les données à la juridiction américaine en vertu du CLOUD Act de 2018. Paliero utilise la région canadienne de Supabase avec des engagements explicites de résidence des données canadiennes appliqués au niveau de l'infrastructure.
2. Chiffrement
En transit : TLS 1.3 appliqué pour toutes les connexions à Paliero. Aucun retour à TLS 1.2 ou antérieur. HSTS (HTTP Strict Transport Security) activé.
Au repos : Chiffrement AES-256 pour toutes les données stockées dans l'infrastructure Supabase. Chiffrement natif Postgres au repos avec clés gérées dans la région de Montréal.
3. Authentification et contrôle d'accès
- Authentification courriel/mot de passe avec exigences de mot de passe fort
- Contrôle d'accès par rôle (Propriétaire, Gestionnaire, Examinateur)
- Isolation des données multi-locataires par organisation
- Sous-domaine personnalisé par organisation
- Délai d'expiration de session et déconnexion automatique
- Intégration de l'authentification unique (SSO) disponible sur la feuille de route institutionnelle
4. Journalisation d'audit
Toutes les actions administratives dans Paliero sont journalisées avec horodatage (ISO 8601, UTC), acteur (ID utilisateur et courriel), type d'action, ressource affectée et adresse IP. Les journaux d'audit sont conservés pendant la durée du contrat institutionnel et mis à la disposition du propriétaire du compte sur demande.
5. Protection de la vie privée et traitement des données
Conformité PIPEDA
Paliero est pleinement conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA). Les principes de protection de la vie privée dès la conception sont appliqués dans l'ensemble de la plateforme.
Minimisation des données
Paliero ne collecte que les renseignements personnels nécessaires à la prestation du service. Aucune donnée démographique, aucune donnée de suivi comportemental, aucun identifiant publicitaire tiers.
Droits des personnes concernées
Les candidats ont le droit d'accéder à leurs renseignements personnels, de les corriger et d'en demander la suppression par l'intermédiaire de l'institution qui a administré le test. Les propriétaires de compte peuvent exporter et supprimer les données sur demande via la plateforme.
Alignement sur la législation provinciale
Paliero est conforme aux principales législations provinciales en matière de protection de la vie privée, y compris la Loi 25 du Québec, la PIPA de l'Alberta et la PIPA de la Colombie-Britannique.
6. Sous-traitants
| Sous-traitant | Fonction | Emplacement |
|---|---|---|
| Supabase | Hébergement, base de données, stockage de fichiers | Montréal, QC, Canada |
| Stripe | Traitement des paiements (forfaits institutionnels uniquement) | Plusieurs régions |
Une liste complète et à jour des sous-traitants est disponible sur demande dans le cadre du dossier de documentation d'approvisionnement.
7. Accessibilité
Paliero respecte les Règles pour l'accessibilité des contenus Web (WCAG) 2.1 niveau AA. La plateforme est alignée sur les normes du Secrétariat du Conseil du Trésor du Canada et la Loi canadienne sur l'accessibilité (2019).
8. Continuité des activités et reprise après sinistre
- Sauvegardes automatisées quotidiennes stockées dans la région canadienne de Supabase
- Récupération à un point dans le temps pour la base de données
- Procédure documentée de reprise après sinistre
- Cible de disponibilité de 99,5 % sur les forfaits institutionnels
9. Gestion des vulnérabilités
- Mises à jour de sécurité régulières appliquées à tous les composants d'infrastructure
- Surveillance des dépendances pour les vulnérabilités connues (CVE)
- Programme de divulgation responsable pour les chercheurs en sécurité
10. Comment demander une revue de sécurité
Pour les institutions effectuant une Évaluation et autorisation de sécurité (EAS) formelle, une Évaluation des incidences sur les opérations (EIO) ou une Évaluation des facteurs relatifs à la vie privée (ÉFVP), contactez-nous pour demander le dossier de documentation complet, qui inclut :
- Diagrammes d'architecture
- Documentation des flux de données
- Liste des sous-traitants avec leurs rôles de traitement des données
- Documentation du chiffrement et du contrôle d'accès
- Spécifications de la journalisation d'audit
- Procédures d'intervention en cas d'incident
- Addendum de traitement des données (DPA) à signer
Besoin du dossier de documentation complet ?
Nous fournissons les diagrammes d'architecture, la documentation des flux de données, les matériaux EIO et un Addendum de traitement des données sur demande pour les institutions effectuant des revues de sécurité formelles.