Politique de divulgation responsable
Dernière mise à jour: 13/05/2026
Engagement
Clear Fashion s'engage à traiter les signalements de vulnérabilités de sécurité de manière transparente, rapide et respectueuse envers les chercheurs qui nous aident à améliorer la sécurité de nos systèmes.
Périmètre
Dans le périmètre
| Système | URL / Description |
|---|---|
| API Rails | api.clear-fashion.com |
| Portail partenaires | portal.clear-fashion.com |
| Application web B2C | app.clear-fashion.com (ou équivalent) |
| Application mobile | iOS / Android Clear Fashion |
| Widgets publics | widget.clear-fashion.com |
Hors périmètre
Les éléments suivants sont exclus du périmètre :
- Attaques de type DoS / DDoS
- Spam ou ingénierie sociale (phishing, vishing)
- Attaques physiques contre nos locaux ou équipements
- Vulnérabilités dans des services tiers non maintenus par Clear Fashion (Heroku, Firebase…)
- Findings automatisés de scanners sans preuve d'exploitabilité
- Absence de best practices sans impact démontrable
Règles d'engagement
Pour être éligible à cette politique, le chercheur doit :
- Ne pas accéder à des données qui ne lui appartiennent pas
- Ne pas modifier ni supprimer des données sans consentement explicite
- Ne pas perturber les services en production
- Ne pas divulguer la vulnérabilité publiquement avant que Clear Fashion ait pu la corriger
- Donner à Clear Fashion un délai raisonnable pour corriger la vulnérabilité (voir délais ci-dessous)
En échange, Clear Fashion s'engage à ne pas engager de poursuites judiciaires contre les chercheurs qui respectent ces règles.
Comment nous contacter
Email : security@clear-fashion.com
Chiffrement : aucune clé PGP disponible actuellement. Si vous avez besoin de chiffrer votre signalement, contactez-nous d'abord pour convenir d'un canal sécurisé.
Contenu d'un bon signalement
- Description claire de la vulnérabilité et de son impact potentiel
- Étapes de reproduction (step-by-step)
- Type de vulnérabilité (OWASP, CWE si possible)
- Systèmes et URLs affectés
- Si applicable : captures d'écran, requêtes HTTP, code de proof-of-concept
Délais d'engagement
| Étape | Délai |
|---|---|
| Accusé de réception | 48 heures ouvrées |
| Qualification et classification | 7 jours |
| Correction (vulnérabilité critique) | 72 heures après qualification |
| Correction (vulnérabilité haute) | 7 jours après qualification |
| Correction (vulnérabilité moyenne/faible) | 30 jours après qualification |
| Autorisation de divulgation publique | Après correction ou accord mutuel |
Si Clear Fashion ne respecte pas ces délais, le chercheur est libre de divulguer publiquement après une seconde tentative de contact.
Ce que nous offrons
Clear Fashion est une startup — nous n'avons pas de bug bounty financier à ce stade. En échange d'un signalement responsable, nous offrons :
- Un accusé de réception et un suivi transparent sur la résolution
- La mention dans notre Hall of Fame si souhaité
- Notre gratitude sincère pour contribuer à la sécurité de nos utilisateurs
Hall of Fame
| Date | Chercheur | Type de vulnérabilité | Résolution |
|---|---|---|---|
| — | — | — | — |