KKOLOSALTech
EN
Divulgation responsable

Politique de divulgation responsable.

Comment nous signaler une vulnérabilité de sécurité. Engagement, cadre légal, délais de réponse.

Engagement KOLOSALTech

Nous prenons la sécurité de notre site, de nos services et de nos clients très au sérieux. Si vous découvrez une vulnérabilité, nous vous encourageons à nous la signaler de manière responsable. En contrepartie, nous nous engageons à vous répondre rapidement, à corriger le problème, et à vous remercier publiquement (avec votre accord).

Périmètre

Périmètre couvert :

  • kolosaltech.com et tous sous-domaines
  • API publiques exposées sur /api/*
  • Composants logiciels et configurations associées

Hors périmètre :

  • Vulnérabilités de fournisseurs tiers (Vercel, Resend, Airtable, etc.) — signaler directement à eux
  • Attaques par déni de service (DoS / DDoS)
  • Ingénierie sociale contre nos collaborateurs
  • Accès physique à nos locaux ou matériels
  • Tests destructifs ou exfiltration de données réelles

Comment signaler

Envoyez votre rapport à :

security@kolosaltech.com

Pour signalement chiffré : clé PGP disponible sur demande à cette même adresse.

Votre rapport devrait inclure :

  • Description claire de la vulnérabilité
  • Étapes de reproduction (PoC minimal)
  • Impact potentiel (qui, quoi, comment)
  • Suggestion de correctif si vous en avez une
  • Vos coordonnées (email, pseudo, lien public optionnel)

Engagements de réponse

  • Accusé de réception sous 48 heures ouvrées
  • Évaluation initialesous 5 jours ouvrés (criticité + plan d'action)
  • Correctif : critique sous 7 jours, haute sous 30 jours, moyenne/basse sous 90 jours
  • Notification post-fix : nous vous prévenons dès que le correctif est en production
  • Reconnaissance publique dans notre Hall of Fame (si vous le souhaitez) après correctif déployé

Règles de bonne conduite

  • Ne testez que sur vos propres comptes / données — pas de tentative d'accès à des données d'autres utilisateurs
  • Ne modifiez et ne supprimez aucune donnée
  • Ne perturbez pas le service (pas de DoS/spam, etc.)
  • Ne divulguez pas publiquement avant que nous ayons corrigé (délai d'embargo : 90 jours à compter du signalement, négociable)
  • Respectez la législation française et européenne applicable (loi Godfrain, RGPD)

Safe Harbor

Si vous suivez de bonne foi cette politique pour signaler une vulnérabilité, nous nous engageons à ne pas engager de poursuites judiciaires à votre encontre, conformément au cadre français de la divulgation responsable (loi pour une République numérique, art. L.2321-4 CSI).

Hall of Fame

Aucun signalement reçu à ce jour. Vous pourriez être le premier !

Bug bounty

KOLOSALTech n'exploite pas de programme bug bounty monétaire à ce jour. Nous étudions l'ouverture d'un programme Yes We Hack ou Intigriti courant 2026. Reconnaissance publique et goodies pour signalements valides en attendant.

Politique conforme au standard RFC 9116 et aux recommandations ANSSI.

security.txt accessible : /.well-known/security.txt