Sécurité de la plateforme MFlow

1. Chiffrement en transit et au repos

Toutes les communications avec MFlow sont chiffrées de bout en bout sur le réseau, et les données sensibles sont également chiffrées lorsqu'elles sont stockées.

• En transit : l'ensemble du trafic vers mflow.cyberperformance.ca et api-mflow.cyberperformance.ca passe par HTTPS / TLS. Le trafic non chiffré (HTTP) est systématiquement redirigé vers HTTPS.
• Certificats : les certificats TLS sont émis et renouvelés automatiquement par Let's Encrypt, ce qui élimine le risque d'expiration et garantit des suites de chiffrement modernes.
• En-têtes de sécurité : HSTS impose le HTTPS aux navigateurs, accompagné des en-têtes de protection usuels (politique de référent, options de type de contenu, anti-clickjacking).
• Au repos :la base de données, les sauvegardes et le stockage des fichiers (photos, documents) sont chiffrés sur disque. Les secrets applicatifs (clés d'API Stripe, Twilio, Resend, etc.) sont conservés dans une configuration protégée, jamais dans le code.

2. Paiements et conformité PCI

Les paiements (dépôts, soldes, pourboires) et la facturation d'abonnement sont opérés par Stripe, prestataire certifié PCI DSS niveau 1, le plus haut niveau de l'industrie.

• La saisie d'une carte de crédit se fait exclusivement sur des pages et des champs hébergés par Stripe (Stripe Checkout et Stripe Elements). Les données de carte ne transitent jamais par les serveurs de MFlow.
• MFlow ne stocke jamaisde numéro de carte, de date d'expiration ni de code de sécurité. Nous ne conservons qu'un identifiant opaque fourni par Stripe (jeton) permettant de rattacher un paiement à une mission.
• Les versements aux déménageurs passent par Stripe Connect (comptes Express): Stripe assure l'identification du bénéficiaire (KYC) et le respect des règles financières.
• Les frais de plateforme se limitent à des frais de commodité numérique de 1 %, prélevés de façon transparente par Stripe au moment de la transaction.

3. Authentification et sessions

L'accès aux comptes repose sur des jetons de session de courte durée et un contrôle d'accès strict par rôle.

• Jetons JWT access / refresh :chaque session utilise un jeton d'accès de courte durée et un jeton de rafraîchissement. La rotation des jetons de rafraîchissement est activée, avec détection de réutilisation : si un ancien jeton est rejoué, toute la chaîne de session est immédiatement révoquée.
• Contrôle d'accès par rôle (RBAC) : propriétaire, répartiteur, chauffeur, comptabilité… chaque rôle ne voit et ne peut effectuer que les actions qui le concernent.
• Liens magiques :les accès par lien (chauffeurs, clients) sont à usage unique et expirent après 24 heures. Une fois utilisé ou expiré, un lien ne peut plus servir.
• Protection anti-force-brute :après 3 tentatives de connexion infructueuses, l'accès est temporairement bloqué afin de contrer les attaques par dictionnaire.

4. Protection des données de vos clients

Les coordonnées et les photos liées à un déménagement sont traitées selon le principe de minimisation : on n'y accède que le temps nécessaire à la mission.

• Contacts éphémères :les coordonnées d'un client (téléphone, adresse) exposées aux intervenants sont révoquées automatiquement à la clôturede la mission. Le chauffeur perd l'accès dès le déménagement terminé.
• Photos en stockage privé : les preuves photo (état des biens, inventaire) sont conservées dans un stockage privé, non public. Elles sont servies via des URL signées éphémèresqui expirent rapidement — un lien copié devient inutilisable une fois expiré.
• Filigrane indélébile : les photos sensibles portent un watermark indélébile (identifiant de mission, horodatage) afin de tracer toute diffusion et de décourager le détournement.

5. Hébergement et isolation

• VPS au Canada :l'infrastructure est hébergée sur un serveur privé virtuel situé au Canada, ce qui maintient la résidence des données en territoire canadien.
• Conteneurs Docker isolés :chaque service (API, base de données, file de tâches, stockage) s'exécute dans un conteneur cloisonné, ce qui limite la surface d'attaque et la propagation d'un incident.
• Sauvegardes :des sauvegardes chiffrées et régulières de la base de données et des fichiers permettent une restauration en cas d'incident.

6. Journalisation et piste d'audit immuable

Les actions sensibles — création de mission, signature de contrat, encaissement, modification de rôle, accès à des coordonnées — sont consignées dans une piste d'audit en ajout seul (append-only). Les entrées ne peuvent être ni modifiées ni supprimées après coup, ce qui garantit leur valeur probante en cas de litige ou de demande de conformité.

7. Conformité Loi 25 et RGPD

MFlow est conçu pour respecter la Loi 25 du Québec sur la protection des renseignements personnels ainsi que le RGPDeuropéen : finalités définies, minimisation des données, droits d'accès et de rectification, et notification en cas d'incident de confidentialité. Le détail des traitements, des durées de conservation et de l'exercice de vos droits figure dans notre politique de confidentialité.

8. Divulgation responsable des vulnérabilités

La sécurité est un effort continu. Si vous découvrez une faille ou un comportement suspect, nous vous invitons à nous en faire part de manière responsable, avant toute divulgation publique, afin que nous puissions corriger le problème rapidement.