Sécurité — ScamLens

Signaler une vulnérabilité

Envoyez un e-mail à [email protected] avec une description, des étapes de reproduction et l'impact. Nous accusons réception sous 48 heures et visons à corriger les problèmes critiques sous 7 jours.

Consultez notre politique de divulgation des vulnérabilités pour le périmètre, les conditions de sphère de sécurité et la reconnaissance.

Résumé lisible par machine : /.well-known/security.txt

Comment nous protégeons les données

• TLS 1.2+ appliqué partout (HSTS preload, 1 an).
• Cloudflare Zero Trust + isolation D1 par espace de noms.
• Clés API chiffrées au repos (AES-256-GCM) et limitées par projet.
• Aucun contenu soumis par les utilisateurs n'est partagé avec des tiers en dehors des agrégations documentées de threat intelligence.
• IAM à moindre privilège sur toutes les intégrations cloud ; rotation des secrets tous les 90 jours.

Réponse aux incidents

Les incidents actifs et les post-mortems historiques seront publiés sur status.scamlens.org (en cours de déploiement). Les incidents critiques sont divulgués aux utilisateurs affectés sous 72 heures, conformément au GDPR Article 33.

Conformité

• GDPR / UK GDPR : base légale documentée ; accord de traitement des données disponible sur demande.
• CCPA / CPRA : Do-Not-Sell respecté ; réponse aux DSAR sous 45 jours.
• SOC 2 Type II : audit prévu pour 2026 Q3.
• PCI : paiements traités par Stripe ; ScamLens ne stocke aucune donnée de carte.

Remerciements

Notre temple de la renommée pour les chercheurs qui ont aidé à renforcer ScamLens sera listé ici au fur et à mesure que nous reconnaissons les rapports valides.