Security PolicyPolitique de sécuritéPolítica de seguridad
Version 0.1 · Initial draft · Last updated 18 July 2026Version 0.1 · Ébauche initiale · Dernière mise à jour le 18 juillet 2026Versión 0.1 · Borrador inicial · Última actualización: 18 de julio de 2026
Draft pending professional translation and independent review before production use. Ébauche en attente d'une traduction professionnelle et d'un examen indépendant avant toute mise en production. Borrador pendiente de traducción profesional y revisión independiente antes de su uso en producción.
Security is our discipline, so we hold this site to the standard we advise for others. This policy describes how we protect the information you share and how security researchers can report a vulnerability in good faith.
How we protect information
- Encryption in transit. The entire site is served over HTTPS/TLS with HSTS, so connections are encrypted and downgrade attacks are resisted.
- Private delivery, not accumulation. We don't keep submissions in a separate database — your message is delivered to a private mailbox. Data in transit and in email routing is encrypted at rest by our infrastructure providers.
- Minimal attack surface. The site is static, with a strict Content-Security-Policy, no third-party advertising or analytics trackers, and no unnecessary scripts.
- Data minimization. We collect only what you provide through the contact form and retain it only as long as needed (see our Privacy Policy).
- No exposed addresses. The contact form relays your message through a server-side function; the destination inbox is never published on this website, reducing spam and targeted phishing.
- Bot protection. We use a privacy-preserving challenge (Cloudflare Turnstile) instead of tracking-based CAPTCHAs.
Coordinated vulnerability disclosure
If you believe you have found a security vulnerability affecting this website or our systems, we welcome your report and will work with you in good faith to understand and resolve it.
How to report
Send a report through the contact form on our contact page, marking your message as a security report. A machine-readable pointer is also published at /.well-known/security.txt (per RFC 9116). Please include enough detail to reproduce the issue: affected URL or component, a description of the impact, and clear reproduction steps. If you can, encrypt or minimize any sensitive proof-of-concept data.
Safe harbor
We will not pursue or support action against researchers who, in good faith, act under this policy. To qualify, please: act only against your own accounts or with explicit permission; avoid privacy violations, data destruction, service degradation, and access to more data than is needed to prove an issue; give us a reasonable opportunity to remediate before public disclosure; and stop and notify us if you encounter personal or confidential data.
Out of scope
- Denial-of-service (DoS/DDoS) or volumetric testing.
- Social engineering, phishing, or physical attacks against our people or offices.
- Reports from automated scanners without a demonstrated, exploitable impact.
- Findings that require a rooted/jailbroken device or highly improbable user interaction.
What to expect
We aim to acknowledge a valid report within a few business days, keep you informed as we investigate, and let you know when the issue is resolved. With your permission, we are glad to credit your contribution. We do not currently operate a paid bug-bounty program.
La sécurité est notre métier ; nous appliquons donc à ce site la norme que nous recommandons aux autres. Cette politique décrit comment nous protégeons les renseignements que vous nous confiez et comment les chercheurs en sécurité peuvent signaler une vulnérabilité de bonne foi.
Comment nous protégeons les renseignements
- Chiffrement en transit. L'ensemble du site est diffusé en HTTPS/TLS avec HSTS ; les connexions sont chiffrées et les attaques par rétrogradation sont contrées.
- Livraison privée, sans accumulation. Nous ne conservons pas les envois dans une base de données distincte — votre message est livré à une boîte de réception privée. Les données en transit et dans le routage courriel sont chiffrées au repos par nos fournisseurs d'infrastructure.
- Surface d'attaque minimale. Le site est statique, avec une politique de sécurité du contenu (CSP) stricte, sans traceurs publicitaires ou d'analyse tiers et sans scripts superflus.
- Minimisation des données. Nous ne recueillons que ce que vous fournissez par le formulaire et ne le conservons que le temps nécessaire (voir notre politique de confidentialité).
- Aucune adresse exposée. Le formulaire relaie votre message par une fonction côté serveur ; la boîte de destination n'est jamais publiée sur ce site, ce qui réduit le pourriel et l'hameçonnage ciblé.
- Protection anti-robots. Nous utilisons un défi respectueux de la vie privée (Cloudflare Turnstile) plutôt que des CAPTCHA fondés sur le pistage.
Divulgation coordonnée des vulnérabilités
Si vous pensez avoir découvert une vulnérabilité de sécurité touchant ce site ou nos systèmes, nous accueillons votre signalement et collaborerons avec vous de bonne foi pour le comprendre et le corriger.
Comment signaler
Envoyez un signalement au moyen du formulaire de notre page de contact, en indiquant qu'il s'agit d'un signalement de sécurité. Un pointeur lisible par machine est également publié à l'adresse /.well-known/security.txt (conformément à la RFC 9116). Veuillez fournir assez de détails pour reproduire le problème : URL ou composant concerné, description de l'impact et étapes de reproduction claires. Si possible, chiffrez ou réduisez au minimum toute donnée sensible de démonstration.
Protection (« safe harbor »)
Nous n'engagerons ni ne soutiendrons de poursuites contre les chercheurs qui, de bonne foi, agissent selon cette politique. Pour en bénéficier, veuillez : n'agir que sur vos propres comptes ou avec une autorisation explicite ; éviter toute atteinte à la vie privée, destruction de données, dégradation de service ou accès à plus de données que nécessaire pour démontrer un problème ; nous laisser une occasion raisonnable de corriger avant toute divulgation publique ; et cesser et nous avertir si vous rencontrez des données personnelles ou confidentielles.
Hors périmètre
- Déni de service (DoS/DDoS) ou tests volumétriques.
- Ingénierie sociale, hameçonnage ou attaques physiques contre nos personnes ou nos bureaux.
- Rapports d'analyseurs automatisés sans impact exploitable démontré.
- Constats exigeant un appareil déverrouillé (root/jailbreak) ou une interaction très improbable de l'utilisateur.
À quoi vous attendre
Nous visons à accuser réception d'un signalement valide en quelques jours ouvrables, à vous tenir informé pendant notre enquête et à vous prévenir une fois le problème résolu. Avec votre accord, nous serons heureux de créditer votre contribution. Nous n'exploitons pas actuellement de programme de primes rémunéré.
La seguridad es nuestra disciplina, por lo que sometemos este sitio al estándar que recomendamos a los demás. Esta política describe cómo protegemos la información que usted comparte y cómo los investigadores de seguridad pueden informar una vulnerabilidad de buena fe.
Cómo protegemos la información
- Cifrado en tránsito. Todo el sitio se sirve por HTTPS/TLS con HSTS, de modo que las conexiones están cifradas y se resisten los ataques de degradación.
- Entrega privada, sin acumulación. No guardamos los envíos en una base de datos aparte — su mensaje se entrega a un buzón privado. Los datos en tránsito y en el enrutamiento de correo se cifran en reposo por nuestros proveedores de infraestructura.
- Superficie de ataque mínima. El sitio es estático, con una Política de Seguridad de Contenido (CSP) estricta, sin rastreadores publicitarios o de analítica de terceros y sin scripts innecesarios.
- Minimización de datos. Solo recopilamos lo que usted facilita por el formulario y lo conservamos únicamente el tiempo necesario (véase nuestra Política de privacidad).
- Sin direcciones expuestas. El formulario transmite su mensaje mediante una función del lado del servidor; el buzón de destino nunca se publica en este sitio, lo que reduce el spam y el phishing dirigido.
- Protección antirrobots. Usamos un desafío respetuoso con la privacidad (Cloudflare Turnstile) en lugar de CAPTCHA basados en rastreo.
Divulgación coordinada de vulnerabilidades
Si cree haber encontrado una vulnerabilidad de seguridad que afecte a este sitio o a nuestros sistemas, agradecemos su informe y colaboraremos con usted de buena fe para entenderla y resolverla.
Cómo informar
Envíe un informe mediante el formulario de nuestra página de contacto, indicando que se trata de un informe de seguridad. También publicamos un puntero legible por máquina en /.well-known/security.txt (según la RFC 9116). Incluya suficiente detalle para reproducir el problema: URL o componente afectado, descripción del impacto y pasos de reproducción claros. Si puede, cifre o reduzca al mínimo cualquier dato sensible de prueba de concepto.
Puerto seguro (safe harbor)
No emprenderemos ni apoyaremos acciones contra investigadores que, de buena fe, actúen conforme a esta política. Para acogerse a ello: actúe solo sobre sus propias cuentas o con permiso explícito; evite violaciones de privacidad, destrucción de datos, degradación del servicio y el acceso a más datos de los necesarios para demostrar un problema; concédanos una oportunidad razonable de remediarlo antes de cualquier divulgación pública; y deténgase y avísenos si encuentra datos personales o confidenciales.
Fuera de alcance
- Denegación de servicio (DoS/DDoS) o pruebas volumétricas.
- Ingeniería social, phishing o ataques físicos contra nuestras personas u oficinas.
- Informes de escáneres automatizados sin un impacto explotable demostrado.
- Hallazgos que requieran un dispositivo con root/jailbreak o una interacción del usuario muy improbable.
Qué esperar
Procuramos acusar recibo de un informe válido en unos pocos días hábiles, mantenerle informado durante la investigación y avisarle cuando el problema esté resuelto. Con su permiso, con gusto reconoceremos su contribución. Actualmente no operamos un programa de recompensas remunerado.