Politique de Responsible Disclosure

Champ d'application

Les ressources suivantes relèvent de cette politique :

• tirugo.ch (site web)
• portal.tirugo.ch (portail client, dès sa mise en service)
• api.tirugo.ch (points d'API)
• Tous les sous-domaines de tirugo.ch

Hors champ :

• Attaques contre l'infrastructure physique de Tirugo
• Ingénierie sociale visant le personnel de Tirugo
• Attaques par déni de service (même à des fins de test)
• Services tiers (Cloudflare, Hetzner, Resend, etc.)

Vos engagements

• Ne pas exploiter les vulnérabilités au-delà du nécessaire pour démontrer le problème.
• Ne pas exfiltrer, modifier ni supprimer des données de tiers.
• Nous accorder un délai raisonnable (généralement 90 jours) avant toute divulgation publique.
• Garder la vulnérabilité confidentielle jusqu'à sa correction.

Nos engagements

• Accuser réception sous 5 jours ouvrés.
• Fournir une première évaluation sous 15 jours ouvrés.
• Vous tenir informé·e de l'avancement des correctifs.
• Ne pas engager de poursuites contre les personnes agissant de bonne foi et dans le cadre de cette politique.
• Reconnaître votre contribution, sur demande, dans nos Security Acknowledgments (ou de manière anonyme).

Bug bounty

Tirugo n'exploite actuellement pas de programme de bug-bounty public. Dans certains cas, nous récompensons des signalements exceptionnels (bons, crédits, invitations à des programmes bêta privés). Les primes financières ne sont pas garanties.

Comment signaler

Envoyez un e-mail – de préférence chiffré – à : security@tirugo.ch

Empreinte de clé PGP : disponible sur demande.

Merci d'inclure :

• URL / composant concerné
• Type de vulnérabilité (p. ex. XSS, SQLi, IDOR, contournement d'authentification)
• Étapes de reproduction
• Impact et vecteurs d'attaque possibles
• Optionnel : suggestion de correctif
• Vos coordonnées (pour suivi et reconnaissance)

Lisible par machine

Contact sécurité selon RFC 9116 : /.well-known/security.txt