Sécurité

Chiffrement au repos et en transit

Les champs sensibles du profil client — notamment les numéros de passeport, dates de naissance, coordonnées, numéros UCI et autres identifiants personnels — sont chiffrés à l'aide d'AES-256-GCM avant d'être écrits dans la base de données. Les clés de chiffrement sont gérées séparément des données.

Les mots de passe du portail client sont hachés avec bcrypt et ne sont jamais stockés en clair. Toutes les données en transit entre les utilisateurs, l'application et notre infrastructure sont protégées par TLS (HTTPS).

Résidence des données au Canada

Les données clients et de dossiers sont stockées au Canada à l'aide de Supabase PostgreSQL géré, hébergé dans la région AWS ca-central-1 (Montréal, Canada). Les fichiers documentaires sont stockés dans Amazon S3 dans la région ca-central-1.

Docvera a choisi la résidence des données au Canada pour soutenir les cabinets et consultants ayant des obligations ou préférences relatives au stockage national des données pour les dossiers d'immigration.

Contrôle d'accès et isolation des locataires

Chaque cabinet ou consultant opère dans un locataire isolé. Les dossiers, données clients, documents et communications sont limités au locataire et ne sont pas accessibles aux autres locataires.

L'accès à l'espace de travail est destiné à être limité aux utilisateurs authentifiés ayant un rôle autorisé dans le locataire concerné. L'accès au portail client est limité au client et aux enregistrements d'accès associés à la session du portail.

Les clients demeurent responsables des personnes qu'ils invitent dans un espace de travail et de la sécurité de leurs propres terminaux et identifiants.

Traitement des documents

Les documents sont téléversés et téléchargés au moyen d'URL signées à durée limitée. L'application est conçue pour que les objets documentaires ne soient pas destinés à être listés publiquement ni récupérables sans requête signée valide ou autre voie d'accès autorisée.

Sécurité des communications

Le courriel et WhatsApp sont utilisés comme canaux de livraison pour les notifications, liens sécurisés et rappels. Ces canaux ne remplacent pas une analyse de confidentialité, les politiques internes d'un cabinet ou une vérification indépendante d'identité.

Fournisseurs d'infrastructure

Docvera dépend de fournisseurs tiers d'infrastructure et de services, notamment Clerk (authentification), Amazon Web Services (stockage documentaire, ca-central-1), Supabase (base de données, ca-central-1), Vercel (hébergement), Resend (courriel) et Twilio (WhatsApp).

Responsabilités du client

• Utiliser une authentification robuste et protéger les identifiants de compte.
• Inviter uniquement des utilisateurs autorisés et revoir l'accès régulièrement.
• Vérifier les coordonnées des clients avant d'envoyer des liens sécurisés.
• Maintenir un niveau de sécurité raisonnable pour les appareils, navigateurs et réseaux locaux.
• Utiliser des procédures légales et professionnellement appropriées pour traiter les dossiers clients.

Gestion des incidents

Si nous prenons connaissance d'un incident de sécurité confirmé touchant Docvera, nous pourrons enquêter, prendre des mesures correctives et fournir des avis appropriés selon nos contrats, pratiques opérationnelles et le droit applicable.

Aucune garantie absolue

Aucun service en ligne ne peut garantir une sécurité complète, une disponibilité ininterrompue ou un risque nul.