Transparence avant engagement. Rapports, registres et DPA disponibles avant la signature — pas après.
Les mesures ci-dessous s'appliquent à tous les clients, sans supplément, sans négociation.
TLS 1.3 en transit. AES-256 au repos. Clés gérées via AWS KMS avec rotation automatique.
Toutes les données clients hébergées au Canada — AWS ca-central-1 (Montréal). Aucun transfert hors Canada sans consentement écrit.
SSO obligatoire (Google / Microsoft). 2FA hardware pour les comptes administrateur. Principe du moindre privilège.
Logs d'accès conservés 12 mois. Disponibles au client sur demande pour tout audit interne ou réglementaire.
Sauvegardes chiffrées quotidiennes. RPO ≤ 24h, RTO ≤ 4h. Tests de restauration trimestriels.
Programme de divulgation publique. Réponse initiale sous 48h ouvrables : security@pkagency.net.
Nous déclarons le statut exact de chaque cadre — y compris ceux où nous ne sommes pas certifiés.
DPO désigné. Registre de traitement à jour. Évaluation des facteurs relatifs à la vie privée (EFVP) disponible sur demande.
DPA standard disponible. Registre des sous-traitants publié sur demande.
Audit en cours avec [auditeur à confirmer] — rapport attendu T3 2026. Lettre de readiness disponible sur demande.
Nos contrôles s'inspirent d'ISO 27001 mais nous ne sommes pas certifiés à ce jour. Nous le déclarons explicitement.
Liste complète et à jour. Un client peut refuser un sous-traitant avant l'engagement.
En cas d'incident de sécurité touchant vos données : notification écrite sous 72h, rapport post-mortem sous 10 jours ouvrables.
Vous avez identifié une vulnérabilité ? Contactez-nous avant toute divulgation publique. Réponse initiale sous 48h ouvrables.
security@pkagency.netRequêtes Loi 25 / RGPD : droit d'accès, rectification, portabilité, effacement. Réponse sous 30 jours calendaires.
dpo@pkagency.netQuestionnaire sécurité, DPA, rapport de readiness SOC 2, registre des sous-traitants — envoyés sous 24h ouvrables.