Evaluation EFVP
Evaluation des facteurs relatifs a la vie privee
Derniere mise a jour : 22 mars 2026
Conformement a la Loi sur la protection des renseignements personnels dans le secteur prive (Loi 25, Quebec), SecuAAS Inc. a realise une evaluation des facteurs relatifs a la vie privee (EFVP) pour la plateforme LogBastion. Le present document constitue un resume public de cette evaluation.
Identification du projet
- Projet
- LogBastion — Plateforme de gestion centralisee de logs et SIEM
- Organisme responsable
- SecuAAS Inc. (9463-7220 Quebec Inc.)
- Responsable vie privee
- privacy@logbastion.com
- Date de l'evaluation
- Mars 2026
- Prochaine revision
- Mars 2027
- Portee
- Ensemble de la plateforme LogBastion (ingestion, stockage, analyse, interface)
Description du traitement
LogBastion est une plateforme SaaS de gestion centralisee de logs et SIEM destinee aux PME et fournisseurs de services geres (MSP). La plateforme collecte, stocke, analyse et correle des logs provenant de multiples sources (serveurs, pare-feux, applications, equipements reseau).
Le traitement des donnees comprend : l'ingestion de logs via 8 protocoles (Syslog, API REST, Loki, S3, OTLP, Webhook, Elasticsearch, Windows Events), le stockage sur trois tiers (hot, warm, archive), l'analyse par pipelines specialises (securite, ops, conformite) et l'analyse IA via Claude (Anthropic).
Categories de donnees
| Categorie | Exemples | Sensibilite |
|---|---|---|
| Donnees d'identification | Nom de l'organisation, courriel administrateur, identifiants de connexion | Moderee |
| Donnees de facturation | Historique de facturation, plan souscrit (cartes de credit gerees par Stripe) | Moderee |
| Logs et evenements | Logs systeme, logs applicatifs, evenements de securite transmis par le client | Variable (selon le contenu) |
| Donnees d'utilisation | Pages consultees, volumes d'ingestion, frequence de connexion | Faible |
| Donnees techniques | Adresses IP, agents utilisateurs, geolocalisation approximative | Faible a moderee |
Mesures de protection
Chiffrement en transit
TLS 1.3 pour toutes les communications client-serveur et inter-services
Chiffrement au repos
AES-256 pour toutes les donnees stockees (logs, metadonnees, sauvegardes)
Isolation multi-tenant
Chaque client dispose d'un namespace logique isole. Aucun acces croise possible entre tenants.
Controle d'acces (RBAC)
Roles et permissions granulaires. Principe du moindre privilege applique a tous les niveaux.
Hachage des mots de passe
bcrypt avec facteur de cout adaptatif. Aucun mot de passe stocke en clair.
Audit trail complet
Journalisation de tous les acces administratifs, modifications de configuration et exports de donnees.
Segmentation reseau
Network policies Kubernetes isolant les composants. Acces externe limite aux endpoints necessaires.
Veille de vulnerabilites
Scans automatises des images Docker et des dependances. Tests de penetration periodiques.
Residence des donnees
Toutes les donnees sont hebergees exclusivement au Quebec, Canada, dans les centres de donnees OVH Canada situes a Beauharnois (QC).
Aucune donnee ne transite, n'est traitee ou n'est stockee a l'exterieur du Quebec. Cette politique s'applique a l'ensemble des composants de la plateforme : ingestion, stockage, analyse, sauvegardes et archives.
Seule exception : les paiements par carte de credit sont traites par Stripe, dont l'infrastructure est situee a l'exterieur du Quebec. Les donnees de carte ne transitent jamais par les serveurs de SecuAAS.
Duree de conservation
- Logs :selon le plan souscrit (30 jours a 2 ans). Suppression automatique a l'expiration.
- Donnees de compte :duree de l'abonnement + 30 jours post-resiliation.
- Donnees de facturation : 7 ans (obligations fiscales).
- Donnees d'utilisation : anonymisees et aggregees, conservees sans limite.
Droits des personnes
Conformement a la Loi 25, toute personne concernee dispose des droits suivants : acces, rectification, suppression (hard delete en 72h), portabilite (export JSON/CSV) et retrait du consentement.
Les demandes peuvent etre adressees a privacy@logbastion.com. Delai de reponse maximum : 30 jours.
Risques et mesures d'attenuation
| Risque | Prob. | Impact | Mesures d'attenuation |
|---|---|---|---|
| Acces non autorise aux logs d'un tenant | Faible | Eleve | Isolation multi-tenant stricte, RBAC, audit trail, tests de penetration reguliers. |
| Fuite de donnees lors du transit | Tres faible | Eleve | TLS 1.3 obligatoire, HSTS, certificate pinning pour les communications inter-services. |
| Compromission des identifiants administrateurs | Faible | Critique | Authentification multi-facteur (MFA), rotation des jetons, alertes en temps reel sur les connexions suspectes. |
| Perte de donnees due a une defaillance infrastructure | Faible | Eleve | Replication des donnees, sauvegardes automatisees quotidiennes, plan de reprise d'activite (PRA) teste. |
| Non-conformite reglementaire | Tres faible | Eleve | Veille juridique continue, residence des donnees au Quebec, evaluation EFVP revisee annuellement. |