Your accounting data. In Quebec. Encrypted. Under your control.

Sovereign Quebec hosting

Our primary servers run at Vidéotron in Quebec. Encrypted replication in Ontario for redundancy. No data leaves Canada. No US authority can demand access via the CLOUD Act.

End-to-end encryption

• In transit : TLS 1.3 avec certificats Let\'s Encrypt renouvelés automatiquement, HSTS strict (Strict-Transport-Security: max-age=63072000), pas de fallback HTTP.
• At rest : AES-256 sur tous les disques. PostgreSQL TDE (Transparent Data Encryption) pour la base de données. Volumes chiffrés au niveau OS (LUKS).
• Backups : Chiffrées avec clé séparée, conservées 90 jours, testées mensuellement par restauration.
• Passwords : Hachés avec BCrypt (workFactor 12). Jamais stockés en clair, même temporairement.

Quebec Law 25 compliance — detailed

• Right to erasure : tout client peut demander la suppression complète de ses données. Effacement définitif en moins de 30 jours, avec attestation.
• Right to portability : export complet de ton dossier (CSV + JSON) en 1 clic.
• Access logging : qui, quand, quoi. Tu peux consulter qui a accédé à ton dossier.
• Breach notifications : en cas d\'incident, notification automatique sous 72 h à la Commission d\'accès à l\'information du Québec (CAI) ET à toi.
• Privacy officer : Guillaume Regimbald, Forge Tech, [email protected].

Authentication and access

• 2FA : authentification à 2 facteurs via TOTP (Google Authenticator, Authy, Microsoft Authenticator). Activée par défaut pour les comptes administrateur.
• JWT sessions : tokens signés HS256, expirent après 24 h, refresh automatique.
• Rate limiting : 5 tentatives de login par IP par 5 min. Défense contre brute-force.
• Granular permissions : rôles Owner, Admin, User, Read-only. Chaque utilisateur a accès à exactement ce qu\'il faut.

Isolated multi-tenant architecture

Each customer business has its OWN PostgreSQL database. No data sharing between tenants. An SQL leak at one tenant CANNOT expose another. More expensive to operate but the only architecture that guarantees absolute isolation.

Availability and continuity

• SLA 99.9 % contractual for Enterprise.
• Backups : incrémentales toutes les heures, complètes quotidiennes.
• Geographic replication : Québec → Ontario, en temps réel.
• Continuity plan : RTO 4 h, RPO 1 h en cas d\'incident majeur.
• 24/7 monitoring : alertes automatiques sur anomalies, intervention humaine en 15 min.

Internal audits and testing

• Quarterly penetration testing (internal team).
• Automated OWASP Top 10 vulnerability scan on every deployment.
• Mandatory code review before merging to production.
• Runtime security patches applied within 48 h.

What about SOC 2 certification?

Honestly: we are not SOC 2 certified yet in 2026. It's a 6-12 month process costing $15-30k that we will launch when our enterprise customer base justifies the investment (target: Q3 2027). Meanwhile, our architecture is designed to pass SOC 2 Type II — only the formal audit is missing, not the practices.

Report a vulnerability

Found a vulnerability? Email [email protected] with details. We respond within 24 h. Informal bug bounty program: $100-2,500 depending on severity, paid via Interac.