Politique de sécurité

La sécurité des données de notre communauté est notre priorité. Cette page décrit comment signaler une faille et comment nous y répondons.

Mise à jour le 17 mai 2026

1. Signaler une faille

Si tu découvres une vulnérabilité de sécurité, écris-nous à security@aukilo.com (ou à contact@aukilo.com avec « [SECURITY] » en objet).

Nous accusons réception sous 72 heures ouvrées et te tenons informé·e du suivi.

Pour accélérer le triage, indique si possible :

  • une description claire de la faille et de son impact ;
  • les étapes pour la reproduire ;
  • la version de l'app ou l'URL concernée ;
  • ton pseudonyme si tu souhaites être crédité·e.

2. Périmètre

Cette politique couvre :

  • le site web et les sous-domaines de aukilo.com ;
  • l'application mobile Aukilo (iOS et Android) ;
  • les Edge Functions Supabase déployées sous le projet officiel.

3. Hors périmètre

Les éléments suivants ne sont pas couverts et ne donnent pas lieu à divulgation responsable :

  • attaques par déni de service (DOS / DDoS) ;
  • phishing et ingénierie sociale contre l'équipe ou les utilisateurs ;
  • scraping massif ou tentatives de contournement de quotas ;
  • vulnérabilités déjà connues ou en cours de correction ;
  • services tiers (Vercel, Supabase, Firebase, Google) — à signaler directement à l'éditeur concerné ;
  • anciens emails ou domaines parqués sans usage.

4. Notre engagement

Si tu respectes les règles de cette politique :

  • nous ne lancerons pas de poursuite légale à ton encontre ;
  • nous travaillerons avec toi pour confirmer et corriger la faille ;
  • nous te créditerons publiquement (avec ton accord) une fois le correctif déployé ;
  • nous publierons, si pertinent, un post-mortem anonyme pour informer la communauté.

Aukilo n'opère pas (encore) de programme de bug bounty rémunéré. Les remerciements sont symboliques.

5. Règles à respecter

Pour bénéficier de notre engagement, merci de :

  • ne pas accéder ni modifier de données utilisateurs sans leur accord ;
  • ne pas dégrader le service ni interrompre son fonctionnement ;
  • ne pas divulguer publiquement la faille avant que nous ayons corrigé ;
  • ne pas exploiter la faille au-delà de la preuve de concept minimale.

6. Données utilisateurs

Aukilo traite des données personnelles conformément au RGPD et à notre politique de confidentialité. Si une faille expose des données personnelles, nous appliquerons les obligations de notification prévues par la réglementation (CNIL, utilisateurs concernés).

7. Contact

Pour toute question sur cette politique : security@aukilo.com.

Clé PGP disponible sur demande pour les rapports sensibles.