Aller au contenu principal

Sécurité

Divulgation responsable

raj3ni.ma s'engage à protéger la vie privée et les données de ses utilisateurs. Si vous découvrez une vulnérabilité de sécurité, nous vous remercions de nous la signaler de manière responsable.

Signaler une vulnérabilité

security@raj3ni.ma

Réponse sous 48 h ouvrables.

Périmètre (in scope)

  • raj3ni.ma — application web principale (landing, onboarding, dashboard, finder)
  • *.raj3ni.ma — sous-domaines éventuels
  • API backend — Server Actions Next.js, routes Supabase exposées

Hors périmètre (out of scope)

  • Attaques par déni de service (DoS / DDoS)
  • Ingénierie sociale contre nos équipes ou utilisateurs
  • Attaques physiques contre l'infrastructure tierce (Vercel, Supabase, Resend, Upstash)
  • Vulnérabilités dans des bibliothèques tierces non directement exploitables dans raj3ni.ma
  • Résultats de scanners automatiques non vérifiés manuellement
  • Clickjacking sur des pages sans actions sensibles

Règles de bonne conduite

Nous vous demandons de respecter les principes suivants lors de vos recherches :

  • Ne pas accéder, modifier ou supprimer des données qui ne vous appartiennent pas
  • Ne pas interrompre la disponibilité du service pour les autres utilisateurs
  • Ne pas exfiltrer de données au-delà du strict nécessaire pour prouver la vulnérabilité
  • Arrêter immédiatement en cas d'accès accidentel à des données personnelles et nous le signaler
  • Ne pas divulguer publiquement la vulnérabilité avant 90 jours après notre accusé de réception

Nos engagements

  • Accusé de réception sous 48 h ouvrables après réception de votre rapport
  • Mise à jour régulière sur l'avancement du correctif (au moins tous les 7 jours)
  • Aucune action légale contre les chercheurs de bonne foi respectant les présentes règles
  • Crédit public dans la section Reconnaissance si vous le souhaitez
  • Délai de correction : critique ≤ 7 j · élevé ≤ 30 j · moyen ≤ 90 j

Contenu d'un rapport idéal

  1. Description claire de la vulnérabilité (type CWE si possible)
  2. Étapes de reproduction (proof-of-concept minimal)
  3. Impact estimé et périmètre affecté
  4. Captures d'écran ou logs (sans données personnelles réelles)
  5. Votre contact préféré pour le suivi

Reconnaissance

Nous remercions les chercheurs suivants pour leurs contributions responsables à la sécurité de raj3ni.ma :

Aucune contribution signalée pour le moment — soyez le premier.

Ce programme est conforme à la loi marocaine 09-08 (CNDP) et aux principes du standard disclose.io.

← Retour à l'accueil
Politique de divulgation responsable — raj3ni.ma · raj3ni.ma