Sécurité
Divulgation responsable
raj3ni.ma s'engage à protéger la vie privée et les données de ses utilisateurs. Si vous découvrez une vulnérabilité de sécurité, nous vous remercions de nous la signaler de manière responsable.
Périmètre (in scope)
- raj3ni.ma — application web principale (landing, onboarding, dashboard, finder)
- *.raj3ni.ma — sous-domaines éventuels
- API backend — Server Actions Next.js, routes Supabase exposées
Hors périmètre (out of scope)
- Attaques par déni de service (DoS / DDoS)
- Ingénierie sociale contre nos équipes ou utilisateurs
- Attaques physiques contre l'infrastructure tierce (Vercel, Supabase, Resend, Upstash)
- Vulnérabilités dans des bibliothèques tierces non directement exploitables dans raj3ni.ma
- Résultats de scanners automatiques non vérifiés manuellement
- Clickjacking sur des pages sans actions sensibles
Règles de bonne conduite
Nous vous demandons de respecter les principes suivants lors de vos recherches :
- Ne pas accéder, modifier ou supprimer des données qui ne vous appartiennent pas
- Ne pas interrompre la disponibilité du service pour les autres utilisateurs
- Ne pas exfiltrer de données au-delà du strict nécessaire pour prouver la vulnérabilité
- Arrêter immédiatement en cas d'accès accidentel à des données personnelles et nous le signaler
- Ne pas divulguer publiquement la vulnérabilité avant 90 jours après notre accusé de réception
Nos engagements
- Accusé de réception sous 48 h ouvrables après réception de votre rapport
- Mise à jour régulière sur l'avancement du correctif (au moins tous les 7 jours)
- Aucune action légale contre les chercheurs de bonne foi respectant les présentes règles
- Crédit public dans la section Reconnaissance si vous le souhaitez
- Délai de correction : critique ≤ 7 j · élevé ≤ 30 j · moyen ≤ 90 j
Contenu d'un rapport idéal
- Description claire de la vulnérabilité (type CWE si possible)
- Étapes de reproduction (proof-of-concept minimal)
- Impact estimé et périmètre affecté
- Captures d'écran ou logs (sans données personnelles réelles)
- Votre contact préféré pour le suivi
Reconnaissance
Nous remercions les chercheurs suivants pour leurs contributions responsables à la sécurité de raj3ni.ma :
Aucune contribution signalée pour le moment — soyez le premier.
Ce programme est conforme à la loi marocaine 09-08 (CNDP) et aux principes du standard disclose.io.
← Retour à l'accueil