Sécurité & divulgation responsable
La sécurité de la plateforme ZeroAdmin est une priorité absolue. Nous accueillons toute communication de vulnérabilité de la part de chercheurs et d'utilisateurs. Cette page documente la procédure de divulgation et nos engagements.
Comment nous contacter
- Email : security@zeroadmin.fr
- Fichier /.well-known/security.txt (RFC 9116)
- Langues : français, anglais
Périmètre
Inclus dans le périmètre :
*.zeroadmin.fr(site marketing, application, API)- Application mobile ZeroAdmin (iOS, Android — bundle ID
fr.zeroadmin.app)
Hors périmètre :
- Attaques de type déni de service volumétrique
- Spam ou ingénierie sociale sur nos collaborateurs et partenaires
- Vulnérabilités déjà connues affectant des dépendances tierces (Stripe, Hetzner, Documenso, etc.)
- Tests automatisés générant un trafic anormal sans coordination préalable
Nos engagements
- Accusé de réception sous 48h ouvrées
- Première analyse de criticité sous 5 jours ouvrés
- Communication régulière sur l'état de la remédiation
- Reconnaissance publique (avec accord) des contributeurs dans cette page une fois la vulnérabilité corrigée
- Aucune poursuite engagée à l'encontre des chercheurs respectant cette politique de bonne foi
Ce que nous demandons
- Ne jamais accéder, modifier ou exfiltrer des données utilisateur qui ne vous appartiennent pas
- Utiliser uniquement des comptes de test que vous créez vous-même
- Nous laisser un délai raisonnable pour corriger avant toute divulgation publique (90 jours par défaut)
- Respecter la législation française et européenne en vigueur
Reconnaissance des contributeurs
Cette section sera renseignée à mesure des contributions reçues. Merci à toutes celles et ceux qui rendent ZeroAdmin plus sûr.