Politique de divulgation responsable

La sécurité de PickleDeck est une priorité. Si vous êtes chercheur·euse en sécurité ou utilisateur·rice attentif·ve et que vous identifiez une vulnérabilité, nous vous invitons à nous la signaler via le canal décrit ci-dessous. Nous nous engageons à traiter chaque signalement avec sérieux, transparence et reconnaissance.

Envoyez un email à security@pickledeck.com en incluant :

• Une description claire de la vulnérabilité
• Les étapes de reproduction (URL, payload, capture d'écran si utile)
• L'impact estimé (confidentialité, intégrité, disponibilité)
• Votre nom ou pseudonyme (pour la reconnaissance)
• Toute proposition de correctif ou de mitigation

Pour les rapports particulièrement sensibles, vous pouvez nous demander une clé PGP avant l'envoi.

Inclus

• pickledeck.com et tous ses sous-domaines de production
• Applications mobiles iOS et Android publiées sous l'éditeur PickleDeck
• API publiques et endpoints webhooks (HelloAsso, Stripe, DUPR)
• Vulnérabilités RGPD : exposition de données personnelles, contournement RLS
• Vulnérabilités d'authentification, autorisation, élévation de privilèges
• Injections (SQL, XSS, SSRF, CSRF, etc.)
• Failles de paiement et de comptabilité

Hors périmètre

• Attaques par déni de service (DDoS) ou stress tests
• Attaques d'ingénierie sociale ciblant nos employés ou utilisateurs
• Attaques physiques sur nos bureaux ou nos prestataires
• Vulnérabilités sur des services tiers que nous ne contrôlons pas (Stripe, Supabase, Vercel, Cloudinary, Resend) — à signaler directement à ces fournisseurs
• Failles nécessitant un accès physique au poste de l'utilisateur
• Rapports automatisés sans démonstration d'exploitabilité réelle
• Configuration des en-têtes type SPF/DKIM/DMARC sur les sous-domaines non utilisés pour l'email
• Manque de bonnes pratiques sans impact démontrable (ex : absence de CSP plus stricte)
• Versions obsolètes de bibliothèques sans CVE exploitable

Nous ne poursuivrons pas en justice les chercheur·euse·s qui :

• Agissent de bonne foi et dans l'esprit de cette politique
• Évitent toute atteinte à la confidentialité des données utilisateurs (utilisez des comptes de test, pas de comptes réels d'autres personnes)
• Ne dégradent ni n'interrompent le service
• Ne divulguent pas la vulnérabilité publiquement avant qu'elle ne soit corrigée et que nous ayons eu un délai raisonnable pour communiquer (90 jours par défaut)
• Respectent les lois en vigueur

Cet engagement ne couvre pas les actes manifestement malveillants (extorsion, revente de données, dégradation intentionnelle).

PickleDeck n'exploite pas (encore) de programme de récompenses financières (bug bounty). En revanche, nous reconnaissons les contributeurs sécurité de plusieurs façons :

• Mention publique sur cette page (avec accord)
• Réponse personnalisée et remerciements écrits
• Pour les contributions majeures : un goodie PickleDeck et un accès anticipé aux nouvelles fonctionnalités

Un programme bug bounty financier sera mis en place avec la montée en charge de la plateforme. Restez à l'écoute.

6. Hall of fame

Aucun signalement public à ce jour. Vous pourriez être le·la premier·ère.

7. Évolution de cette politique

Cette politique est revue annuellement (prochaine revue : mai 2027) et peut évoluer en fonction de la maturité du programme. La date de dernière mise à jour figure en haut de page. Les modifications majeures sont signalées sur le canal security@pickledeck.com.