Aller au contenu principal
satooB

Politique de sécurité

Dernière mise à jour: 6 mai 2026Date d'effet: À l'acceptation

Nous prenons la sécurité de nos utilisateurs et de notre infrastructure au sérieux, et nous accueillons favorablement les signalements de chercheurs en sécurité indépendants agissant de bonne foi. La présente politique décrit la manière dont nous recevons, trions et traitons les signalements de vulnérabilités, et ce que nous attendons des chercheurs en retour.

Une version lisible par machine des coordonnées de contact ci-dessous est publiée à l'adresse /.well-known/security.txt conformément à la RFC 9116.

1. Nos engagements

Nous nous engageons à :

  • fournir un canal clair et surveillé pour les signalements de vulnérabilités ;
  • accuser réception des signalements rapidement et les traiter avec attention ;
  • coordonner les calendriers de divulgation de manière transparente ;
  • ne pas engager de poursuites contre les chercheurs qui respectent la présente politique ;
  • créditer les chercheurs dans notre Hall of Fame (s'ils le souhaitent).

2. Périmètre

Dans le périmètre :

  • La plateforme satooB — satoob.com et tout sous-domaine exploité par Konatamo LLC, incluant le site marketing public, les tableaux de bord, le portail caisse Commerçant, les surfaces kiosque en magasin et les pages publiques d'atterrissage pour les Bons, le cashback et les quêtes.
  • Les API publiques et webhooks satooB documentés sous /api/* et les server actions équivalentes exposées par la plateforme.
  • Les dépôts de code source sous l'organisation Konatamo sur GitHub (satoob et tout autre dépôt public, lorsqu'il sera publié).

Hors du périmètre :

  • Les services tiers dont nous dépendons mais que nous ne contrôlons pas (Vercel, Supabase, Stripe, Cloudflare, Resend, PostHog, Mercury Bank, Hostinger, Google Workspace). Veuillez signaler les vulnérabilités de ces services directement aux équipes sécurité des prestataires.
  • Les attaques volumétriques (déni de service, déni de service distribué, inondation de couche 7).
  • L'ingénierie sociale du personnel, des partenaires ou des clients de Konatamo LLC.
  • Les attaques physiques contre nos bureaux ou les installations de nos fournisseurs.
  • Les signalements d'en-têtes de sécurité manquants, de limitations de débit absentes ou de configurations TLS lacunaires sans impact exploitable sur les données utilisateurs, l'intégrité des comptes ou la disponibilité de la plateforme.

3. Comment signaler

Veuillez écrire à security@satoob.com en indiquant :

  1. Une description claire de la vulnérabilité, incluant le point de terminaison ou le composant affecté.
  2. Les étapes de reproduction — preuve de concept concrète et minimale lorsque c'est possible.
  3. L'impact que vous évaluez (confidentialité / intégrité / disponibilité) et une sévérité suggérée (Critique / Élevée / Moyenne / Faible).
  4. Vos coordonnées de contact, et tout pseudo que vous souhaiteriez voir utilisé si nous vous créditons dans le Hall of Fame.

Une future clé PGP pour le chiffrement des signalements pourra être publiée à l'adresse /.well-known/pgp-key.txt ; en attendant, veuillez envisager de ne pas inclure de détails bruts d'exploit dans un e-mail non chiffré.

4. Notre réponse

Lorsque nous recevons un signalement :

  • Dans les cinq (5) jours ouvrés — nous accusons réception de votre signalement.
  • Dans les quinze (15) jours ouvrés — nous fournissons un premier tri, incluant une évaluation préliminaire de la sévérité et toute question de clarification.
  • Dans les quatre-vingt-dix (90) jours — nous visons à corriger la vulnérabilité, déployer le correctif et confirmer avec vous la clôture du dossier. Lorsque la correction nécessite davantage de temps (dépendances tierces, modification architecturale non triviale), nous vous tiendrons informé de l'avancement.

5. Sphère de sécurité (« safe harbor »)

Konatamo LLC n'engagera ni ne soutiendra aucune action en justice à votre encontre pour de la recherche en sécurité menée de bonne foi et conformément à la présente politique, incluant (sans s'y limiter) :

  • N'accéder qu'aux systèmes dans le périmètre, et uniquement aux données minimales requises pour démontrer la vulnérabilité.
  • Éviter toute action qui pourrait affecter d'autres utilisateurs (par exemple, tests de déni de service en production, élévation de privilèges qui dériverait vers d'autres tenants non concernés, exfiltration de plus de données que nécessaire à la démonstration).
  • S'abstenir de toute divulgation publique de la vulnérabilité avant que nous ayons eu une opportunité raisonnable de la corriger.
  • Restituer, détruire ou s'abstenir de divulguer toute donnée consultée durant la recherche.

Si vous n'êtes pas sûr qu'une approche de test donnée relève de la sphère de sécurité, contactez-nous à security@satoob.com avant de procéder.

6. Programme de récompenses

Nous n'opérons pas actuellement de programme rémunéré de bug bounty. Nous pourrions en envisager un à l'avenir ; entre-temps :

  • Reconnaissance — les signalements significatifs peuvent être crédités dans notre Hall of Fame (Section 7) à la demande du chercheur.
  • Goodies et crédits — lorsqu'un signalement conduit à une amélioration significative de la plateforme, nous pouvons à notre discrétion offrir des goodies aux couleurs de Konatamo, des crédits satoPOINTS ou une lettre de reconnaissance publique.
  • Divulgation coordonnée — nous sommes heureux de co-rédiger une publication de divulgation avec le chercheur une fois le correctif déployé.

7. Hall of Fame

Nous maintenons cette section pour reconnaître publiquement les chercheurs dont les divulgations responsables ont amélioré la sécurité de la plateforme satooB. La liste ci-dessous est actuellement vide — nous sommes impatients de vous y créditer prochainement.

8. Contact

Adresse postale (pour la signification d'actes) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.