Politique de sécurité
Dernière mise à jour : avril 2026
La sécurité de TrackPulse et la protection de vos données sont notre priorité absolue. Si vous découvrez une vulnérabilité, nous vous encourageons à nous la signaler de manière responsable avant toute divulgation publique.
1. Périmètre
Cette politique s'applique à tous les systèmes gérés par TrackPulse :
- Application web : trackpulse.app et sous-domaines
- API REST : trackpulse.app/api/*
- Infrastructure Supabase (base de données, authentification, stockage)
- Intégrations d'exchanges via clés API chiffrées
Sont exclus du périmètre : les services tiers (Vercel, Supabase, exchanges crypto) — veuillez signaler directement les vulnérabilités qui les concernent à leurs équipes respectives.
2. Comment nous contacter
Pour signaler une vulnérabilité, envoyez un email à trackpulsefr@gmail.com en précisant :
- La description détaillée de la vulnérabilité
- Les étapes pour la reproduire (proof of concept)
- L'impact potentiel estimé (données exposées, systèmes affectés)
- Votre nom / pseudonyme (optionnel, pour la reconnaissance)
Vous pouvez chiffrer votre message avec notre clé PGP disponible sur demande.
3. Nos engagements
- Accusé de réception : nous répondons sous 48 heures ouvrées.
- Évaluation : nous évaluons la vulnérabilité et vous informons de son statut sous 7 jours.
- Correction : nous nous engageons à corriger les vulnérabilités critiques sous 30 jours, et les autres sous 90 jours.
- Confidentialité : nous ne partagerons pas vos informations personnelles sans votre accord.
- Reconnaissance : les chercheurs ayant signalé des vulnérabilités valides seront mentionnés dans notre Hall of Fame (avec votre accord).
4. Règles à respecter
Pour que votre signalement soit considéré dans le cadre de cette politique, vous devez :
- Ne pas accéder à des données d'autres utilisateurs sans leur consentement.
- Ne pas modifier, supprimer ou exfiltrer des données.
- Ne pas perturber la disponibilité du service (DoS/DDoS).
- Ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu l'opportunité de la corriger (délai de coordination : 90 jours maximum).
- Agir de bonne foi et limiter les tests au strict nécessaire.
5. Vulnérabilités hors périmètre
Les éléments suivants ne sont pas éligibles à ce programme :
- Attaques nécessitant un accès physique à l'appareil de l'utilisateur
- Ingénierie sociale ou phishing ciblant nos utilisateurs ou employés
- Problèmes liés à des logiciels tiers non maintenus par TrackPulse
- Résultats de scanners automatisés sans preuve d'exploitabilité
- Absence de rate-limiting sur des endpoints non-sensibles
- En-têtes HTTP manquants non liés à la sécurité
6. Hall of Fame
Nous remercions les chercheurs en sécurité qui contribuent à la sécurité de TrackPulse. Aucune vulnérabilité n'a encore été signalée — soyez le premier à contribuer !