aller au contenu principal

Centre de confiance

Politique de divulgation des vulnérabilités

Traduit pour votre commodité. La version anglaise est celle qui fait foi juridiquement.

Nous accueillons la recherche en sécurité menée de bonne foi. Si vous pensez avoir trouvé une vulnérabilité dans Syncanix, nous voulons le savoir — vite, directement, et avant quiconque.

Comment signaler

Envoyez une description du problème à admin@syncanix.com.

  • Les étapes de reproduction, ou une preuve de concept — de quoi nous permettre de confirmer le problème.
  • Votre évaluation de l’impact : quelles données ou actions un attaquant pourrait atteindre.
  • La surface concernée — site, tableau de bord, API, widget, serveur MCP ou CLI.

Nos engagements

  • Accusé de réception sous 3 jours ouvrés après votre signalement.
  • Tri et première évaluation de gravité sous 7 jours.
  • Un point d’avancement au moins tous les 14 jours jusqu’à la résolution.
  • Un crédit public pour la découverte si vous le souhaitez — ou l’anonymat complet si vous préférez.

Nous n’avons pas de programme de récompenses payant aujourd’hui. Si cela change, cette page et notre security.txt le diront en premier.

Protection de bonne foi

Nous n’engagerons ni ne soutiendrons d’action en justice contre une recherche menée de bonne foi et dans le cadre de ces règles :

  • N’accédez pas, ne modifiez pas et ne conservez pas des données qui ne sont pas les vôtres ; si vous rencontrez les données d’autrui, arrêtez et signalez.
  • Ne dégradez pas le service pour les autres — pas de tests volumétriques contre l’infrastructure partagée.
  • Testez uniquement avec des comptes et des tenants que vous possédez ou avez créés à cette fin.

Périmètre

Dans le périmètre : syncanix.com, app.syncanix.com, api.syncanix.com, cdn.syncanix.com (le widget intégrable), la surface MCP par tenant et la CLI syncanix.

Hors périmètre :

  • Découvertes de déni de service ou volumétriques.
  • Ingénierie sociale, hameçonnage ou attaques physiques contre des personnes.
  • Vulnérabilités dans les services tiers que nous utilisons — signalez-les au fournisseur (ils figurent sur notre page des sous-traitants).
  • Sorties de scanners automatiques sans impact démontré et reproductible.

Divulgation coordonnée

Accordez-nous 90 jours à compter de votre signalement (ou un délai convenu ensemble) avant toute divulgation publique, afin que le correctif atteigne d’abord chaque tenant. Nous coordonnons volontiers la publication et ne laisserons pas traîner un problème confirmé.

Version lisible par machine : /.well-known/security.txt