Data Storage & Residency
Last updated: June 11, 2026
Where the data physically lives, how it is protected, and how it can be deleted. This page states the operating architecture; contractual commitments are set out in customer agreements.
Canadian soil, by architecture
Every processing component is pinned to the Canadian cloud region (ca-central-1). Structured data lives in managed Postgres behind Row-Level Security; files and derived artifacts in region-pinned object storage; encryption keys are managed in-region. Residency is enforced by the architecture, not by assertion — there are no cross-border processing hops.
Access is decided at the database
Access control is not an interface feature. Every query is filtered by database Row-Level Security against signed claims (tenant, jurisdiction, clearance) carried in the operator’s token. A valid login without a provisioned operator record is denied by default. The interface cannot grant what the data layer denies.
Sensitive fields are withheld at the source
Fields above an operator’s clearance are removed on the server before a response is sent. Withheld means absent — the raw value never reaches the browser to be hidden after the fact. The same discipline applies whether data is read, charted, edited, exported, or cleaned.
Encryption
In transit: TLS. At rest: managed cloud encryption with KMS-backed storage. Application users never receive direct database credentials; decryption happens only inside authorized runtime paths, after tenant, clearance, and policy checks.
Tamper-evident audit
Every governed action — ingest, edit, reversion, archive, export, access change — is written to an append-only ledger in which each entry carries a SHA-256 hash of the entry before it. Altering any past record breaks the chain; a verification pass detects it. The audit trail is a property of the system, not an optional log.
Deletion
Deletion is tenant-scoped and governed. A deletion request removes uploaded files, derived datasets, generated reports, and working artifacts from the active system, with final retention and purge behavior configured with the customer to align with retention, audit, legal-hold, and backup obligations. Deletion does not silently erase the audit record: the ledger retains the deletion event (who, when) without retaining the sensitive content.
Sub-processors
Infrastructure sub-processors that store or process data on our behalf operate in-region and are disclosed to customers, with data-protection obligations consistent with our Privacy Policy.
Production posture
Production deployments follow a dedicated, network-isolated VPC model built to the Protected B control profile, committed at contract award. Evidence — RLS policies, claim design, audit logs, architecture diagram, control mapping — is available to customers on request.
Questions: hello@pairenthesis.com
Où les données résident physiquement, comment elles sont protégées et comment elles peuvent être supprimées. Cette page décrit l’architecture d’exploitation ; les engagements contractuels figurent dans les ententes clients.
En sol canadien, par l’architecture
Chaque composant de traitement est ancré dans la région infonuagique canadienne (ca-central-1). Les données structurées résident dans une base Postgres gérée, protégée par la sécurité au niveau des lignes ; les fichiers et artefacts dérivés, dans un stockage objet ancré en région ; les clés de chiffrement sont gérées en région. La résidence est appliquée par l’architecture, non par simple affirmation — aucun traitement transfrontalier.
L’accès se décide dans la base de données
Le contrôle d’accès n’est pas une fonction d’interface. Chaque requête est filtrée par la sécurité au niveau des lignes selon des revendications signées (locataire, juridiction, habilitation) portées par le jeton de l’opérateur. Une connexion valide sans dossier d’opérateur provisionné est refusée par défaut. L’interface ne peut accorder ce que la couche de données refuse.
Les champs sensibles sont retenus à la source
Les champs excédant l’habilitation d’un opérateur sont retirés côté serveur avant l’envoi de la réponse. Retenu signifie absent — la valeur brute n’atteint jamais le navigateur. La même discipline s’applique à la lecture, aux graphiques, à la modification, à l’exportation et au nettoyage des données.
Chiffrement
En transit : TLS. Au repos : chiffrement infonuagique géré, stockage adossé à un service de gestion de clés. Les utilisateurs de l’application ne reçoivent jamais d’identifiants directs de base de données ; le déchiffrement n’a lieu que dans des chemins d’exécution autorisés, après vérification du locataire, de l’habilitation et des politiques.
Audit infalsifiable
Chaque action encadrée — ingestion, modification, restauration, archivage, exportation, changement d’accès — est consignée dans un registre en ajout seul où chaque entrée porte le hachage SHA-256 de l’entrée précédente. Toute altération d’un enregistrement passé brise la chaîne ; une passe de vérification la détecte. La piste d’audit est une propriété du système, non un journal facultatif.
Suppression
La suppression est limitée au locataire et encadrée. Une demande de suppression retire les fichiers téléversés, les jeux de données dérivés, les rapports générés et les artefacts de travail du système actif, le comportement final de conservation et de purge étant configuré avec le client. La suppression n’efface pas silencieusement le registre d’audit : celui-ci conserve l’événement (qui, quand) sans conserver le contenu sensible.
Sous-traitants
Les sous-traitants d’infrastructure opèrent en région et sont divulgués aux clients, avec des obligations de protection des données conformes à notre Politique de confidentialité.
Posture de production
Les déploiements de production suivent un modèle de VPC dédié et isolé du réseau, conçu selon le profil de contrôle Protégé B, engagé à l’attribution du contrat. Les éléments de preuve — politiques RLS, conception des revendications, journaux d’audit, schéma d’architecture, correspondance des contrôles — sont offerts aux clients sur demande.
Questions : hello@pairenthesis.com