Politique de divulgation responsable

Dernière mise à jour : mai 2026

1. Notre engagement

La sécurité de nos utilisateurs est une priorité. Si vous découvrez une faille de sécurité, nous vous remercions de nous la signaler de manière responsable et confidentielle plutôt que de la divulguer publiquement.

2. Comment signaler

Envoyez votre rapport par email à security@turtlii.fr. Incluez :

  • Description claire de la vulnérabilité
  • Étapes de reproduction (proof-of-concept)
  • Impact potentiel
  • Vos coordonnées pour le suivi (optionnel — peut être anonyme)

3. Délais de réponse

  • Accusé de réception : sous 24h ouvrées
  • Évaluation initiale : sous 5 jours ouvrés
  • Correction critique : ciblée sous 30 jours
  • Correction non-critique : ciblée sous 90 jours

4. Périmètre

Inclus dans le scope :

  • app.turtlii.fr, turtlii.fr, turtlii.com (web)
  • Applications mobiles (turtlii-tenant://, turtlii-owner://)
  • APIs publiques (app.turtlii.fr/api/*)
  • Webhooks Stripe / Bridge / Resend

Hors scope :

  • Ingénierie sociale du personnel
  • Attaques de déni de service (DoS/DDoS)
  • Sécurité physique des locaux
  • Vulnérabilités sans preuve de concept ou théoriques (CVSS < 4)
  • Vulnérabilités déjà connues / déjà rapportées

5. Safe Harbor

Nous nous engageons à ne pas poursuivre légalement les chercheurs agissant de bonne foi dans le cadre de cette politique. Cela inclut les tests automatisés et manuels, à condition que :

  • Vous ne divulguiez pas la faille publiquement avant correction
  • Vous ne tentiez pas d'exfiltrer des données utilisateur
  • Vous n'exécutiez pas de tests destructifs
  • Vous respectiez la confidentialité des données tierces

6. Reconnaissances

Avec votre accord, nous publions les noms des chercheurs ayant contribué à améliorer notre sécurité sur la page remerciements sécurité.

7. Liens utiles

Politique de divulgation responsable — Turtlii — Turtlii