Quand nous avons commencé à bâtir MapleDeploy, l'objectif n'était pas d'avoir un angle marketing. C'était de bâtir une plateforme d'hébergement gérée où nous pourrions honnêtement dire aux clients : vos données ne quittent pas le Canada. Pas d'exceptions, pas d'astérisques, pas de « sauf pour ces services tiers que nous ne mentionnons pas ».
C'est plus compliqué qu'on pourrait le croire.
La pile que nous avons choisie
Chaque couche de la plateforme a exigé une décision sur la juridiction du fournisseur. Voici ce que nous avons retenu et pourquoi.
Les machines virtuelles des clients fonctionnent sur LunaNode, une entreprise constituée en Colombie-Britannique (Corporate Registry #BC0997033) qui exploite sa propre infrastructure dans un centre de données à Toronto. Société privée, pas de société mère américaine, pas d'hyperscaler en arrière-plan. Nous avons confirmé cela directement avec LunaNode. Quand les données applicatives d'un client résident dans une machine virtuelle LunaNode, elles sont au Canada dans un sens réel, pas seulement dans un centre de données canadien loué à Amazon.
Le DNS est géré par Bunny.net, une entreprise slovène. Siège en UE, soumise au RGPD, pas de société mère américaine. Pas canadienne, mais la juridiction européenne est un second choix raisonnable. Bunny gère aussi notre CDN pour le site marketing.
Le courriel transactionnel passe par Cakemail, une entreprise montréalaise. Notifications de serveur prêt, rappels de facturation, avertissements d'expiration d'essai. Tout traité au Canada.
Le courriel d'affaires est sur mailbox (anciennement Mailbox.org), un fournisseur allemand. La loi allemande sur la protection des données est stricte par défaut. Pas canadien, mais la juridiction allemande est bien comprise et l'alternative, Google ou Microsoft, signifie que la loi américaine s'applique à chaque courriel dans votre boîte de réception.
Notre registraire de domaine est CanSpace, une entreprise canadienne et registraire accrédité .ca. Le domaine de premier niveau .ca est exploité par l'ACEI, un organisme canadien à but non lucratif. Nous utilisons aussi le Bouclier canadien de l'ACEI comme résolveur DNS : un résolveur gratuit, respectueux de la vie privée, exploité par la même organisation qui gère le registre .ca.
La gestion des secrets est 1Password, dont le siège est à Toronto. Toutes les clés d'API, identifiants et secrets de déploiement y résident.
La plateforme de déploiement elle-même est Coolify, un logiciel libre que nous auto-hébergeons sur LunaNode. Aucune donnée ne quitte notre infrastructure pour la licence de la plateforme. Nous gérons l'installation Coolify et la gardons à jour.
La base de données est PostgreSQL, auto-hébergée. Même logique.
C'est la pile. Juridiction canadienne ou européenne à chaque couche, données applicatives exclusivement au Canada, aucune dépendance aux hyperscalers américains. En savoir plus sur notre approche d'hébergement canadien.
Puis nous sommes arrivés aux paiements.
L'histoire Helcim
Le choix évident pour une entreprise canadienne acceptant des paiements récurrents était Helcim. Basée à Calgary, tarification interchange-plus réellement transparente, API bien documentée, prise en charge des abonnements. Sur papier, le bon choix.
Nous avons fait une demande. Nous avons été refusés.
La politique d'utilisation acceptable de Helcim classe « l'hébergement de sites Web » comme catégorie d'entreprise restreinte. Ce n'est pas spécifique à MapleDeploy. Les processeurs de paiement utilisent des codes de catégorie de commerçant généraux, et « l'hébergement » en tant que catégorie est restreint par certains acquéreurs. Le même code couvre tout, de l'hébergement partagé au cloud d'entreprise, et il n'y a pas de distinction au niveau de la classification entre un PaaS géré et un service de stockage de fichiers.
Nous comprenons le raisonnement. Les processeurs de paiement gèrent le risque de portefeuille, et les catégories générales sont leur manière de le faire. Mais cela crée un résultat malheureux : une entreprise canadienne bâtie spécifiquement pour garder les données sur une infrastructure canadienne, travaillant avec un processeur de paiement canadien qui a un bon produit, et le code de catégorie ne permet pas la relation.
Donc les données de paiement, la seule catégorie que nous ne pouvions pas garder canadienne par facturation automatisée, vont aux États-Unis. Les données qui comptent le plus pour nos clients, leur code applicatif, leurs bases de données, leur configuration, restent au Canada. Mais la relation de facturation est traitée par une entreprise américaine.
Nous aimerions réexaminer cela avec Helcim à mesure que nous bâtissons un historique. Ils ont un processus d'examen pour les catégories restreintes, et nous ferons une nouvelle demande une fois que nous aurons un peu d'historique.
Où nous avons abouti
Nous utilisons Stripe pour la facturation automatisée. Stripe est une entreprise dont le siège est aux États-Unis. Les données de paiement sont traitées dans des centres de données américains et sont soumises à la juridiction américaine. Nous avons écrit plus en détail sur cette décision dans notre article sur Stripe, incluant ce que cela signifie et ne signifie pas pour la conformité à la LPRPDE.
La version courte : les données de paiement traversent la frontière, les données applicatives non. Stripe est certifié PCI Niveau 1 et gère le cycle de vie des abonnements, les tentatives de paiement échoué et le portail libre-service dont nous avons besoin pour exploiter un service géré sans frais généraux de facturation manuelle.
Pour les clients qui souhaitent que les paiements restent au Canada, nous acceptons le virement Interac. Interac est un réseau interbancaire canadien. Les virements électroniques entre institutions financières canadiennes sont traités au pays. Le compromis est que c'est manuel : vous recevez une facture mensuelle et envoyez le paiement directement. Pas de facturation automatisée ni de portail libre-service. Si cela vous convient, contactez-nous à hello@mapledeploy.ca.
Ce que nous avons appris
Bâtir une pile canadienne d'abord est possible pour la majeure partie de ce que vous construisez. Infrastructure, courriel, DNS, secrets, la plateforme de déploiement elle-même. Tout cela est résolvable. L'écosystème canadien existe, il est simplement plus petit, et vous devez faire la recherche plutôt que de prendre AWS ou Google par défaut.
Les paiements sont le trou. Les processeurs de paiement canadiens existent, mais ceux avec des API matures classent soit l'hébergement comme restreint, soit n'offrent pas les outils de cycle de vie d'abonnement dont un service géré a besoin. Les hypothèses de risque de catégorie intégrées dans les politiques des banques acquéreuses n'ont pas rattrapé ce à quoi ressemblent réellement les entreprises d'infrastructure SaaS.
Il y a aussi un patron qui mérite d'être nommé : les politiques d'utilisation acceptable conservatrices qui excluent les entreprises Internet légitimes. « Hébergement de sites Web » comme interdiction plate ne distingue pas entre un cyberlocker et un PaaS géré. C'est un problème que l'industrie canadienne des paiements aurait intérêt à réexaminer alors que de plus en plus d'entreprises logicielles canadiennes essaient de bâtir sur une infrastructure canadienne.
L'écosystème s'améliore. Des entreprises comme LunaNode et Cakemail existent et fonctionnent bien. L'ACEI a bâti une infrastructure qui vaut la peine d'être utilisée. Nous continuerons d'essayer de faire avancer les paiements dans la bonne direction, et nous passerons à un processeur canadien dès qu'un processeur qui fonctionne pour notre modèle voudra de nous.
Si vous bâtissez quelque chose et que vous avez trouvé un processeur de paiement canadien qui gère les entreprises d'hébergement géré avec de vrais outils d'abonnement, nous sommes à hello@mapledeploy.ca.
MapleDeploy fonctionne sur l'infrastructure LunaNode à Toronto. Les forfaits commencent à 45 $ CAD/mois avec un essai gratuit de 14 jours sur les forfaits Starter et Pro. Si la résidence des données canadiennes compte pour ce que vous bâtissez, jetez un coup d'oeil.
La couche d'hébergement, réglée
Infrastructure canadienne, tarification forfaitaire, gérée pour vous. Essai gratuit de 14 jours sur les forfaits Starter et Pro.