Politique de sécurité & signalement responsable

Dernière mise à jour : 12 mai 2026 · Version 1.0

1. Engagement de Keep Pics

STUDIOSAVORA prend la sécurité de ses utilisateurs et de leurs données très au sérieux. Nous appliquons en continu les bonnes pratiques de l'industrie et accueillons les signalements responsables de vulnérabilités.

2. Mesures de sécurité mises en œuvre

2.1 Sécurité applicative

• Chiffrement TLS 1.3 obligatoire (HSTS activé)
• Politique de sécurité HTTP stricte (CSP, X-Frame-Options, X-Content-Type-Options)
• Hashage des mots de passe avec bcrypt (cost ≥ 12)
• Authentification à deux facteurs disponible
• Protection CSRF sur toutes les actions sensibles
• Validation et échappement systématique des entrées utilisateur
• Rate-limiting sur les endpoints sensibles (login, API)
• Monitoring temps réel des erreurs et incidents (Sentry)

2.2 Sécurité des données

• Chiffrement au repos AES-256 sur le stockage R2
• Empreintes biométriques sous forme de vecteurs irréversibles
• Isolation des données entre utilisateurs (séparation logique stricte)
• Sauvegardes chiffrées et testées
• Conservation limitée et finalité spécifique pour chaque donnée

2.3 Sécurité opérationnelle

• Accès aux infrastructures strictement limité (need-to-know)
• Audit logs des actions administrateurs
• Procédure documentée d'incident response
• Revue de code systématique avant déploiement en production
• Dépendances tierces auditées et mises à jour régulièrement

3. Signalement responsable de vulnérabilités (Responsible Disclosure)

Nous remercions chaleureusement les chercheurs en sécurité qui contribuent à améliorer la Plateforme.

3.1 Comment signaler

Tout signalement de vulnérabilité doit être adressé à :

Email : contact@keeppics.com avec l'objet « Security Vulnerability Report »

Merci de fournir :

• Description détaillée de la vulnérabilité
• Étapes de reproduction
• Impact potentiel et scénarios d'exploitation
• Suggestions de correction (optionnel)
• Vos coordonnées de contact

3.2 Engagements de Keep Pics envers les chercheurs

• Accusé de réception sous 48h ouvrées
• Évaluation et premier retour sous 7 jours
• Mention publique optionnelle (Hall of Fame) si vous le souhaitez
• Pas de poursuites judiciaires pour les signalements de bonne foi respectant le présent cadre

3.3 Règles à respecter par les chercheurs

• Ne pas exploiter la vulnérabilité au-delà du strict nécessaire à la démonstration
• Ne pas accéder, modifier ou supprimer des données d'autres utilisateurs
• Ne pas effectuer d'attaque par déni de service (DoS)
• Ne pas dégrader le service ou la disponibilité
• Ne pas divulguer publiquement la vulnérabilité avant correction et accord
• Respecter un délai de divulgation responsable de 90 jours minimum

3.4 Hors périmètre

Ne sont pas considérés comme des vulnérabilités :

• Les rapports automatisés sans démonstration de faisabilité
• Les en-têtes HTTP manquants sans démonstration d'exploitation
• Le simple manque d'option « SameSite » sur des cookies non sensibles
• Le clickjacking sans démonstration d'impact
• Les attaques d'ingénierie sociale ou de phishing
• Les vulnérabilités de sous-traitants tiers (à reporter directement à ceux-ci)

4. Conseils sécurité pour les utilisateurs

4.1 Photographes

• Utilisez un mot de passe fort et unique
• Activez l'authentification à deux facteurs
• Ne partagez jamais vos identifiants
• Vérifiez régulièrement les sessions actives sur votre compte
• Signalez immédiatement toute activité suspecte

4.2 Acheteurs

• Ne communiquez vos identifiants à personne
• Vérifiez que vous êtes bien sur keeppics.com (vigilance phishing)
• Téléchargez vos photos HD sur un appareil de confiance
• Conservez les emails de confirmation

5. Bug bounty (à venir)

Un programme de récompense (bug bounty) pourra être mis en place ultérieurement. Actuellement, les signalements responsables font l'objet d'une mention en Hall of Fame sur demande.

6. Contact sécurité

Pour toute question sécurité : contact@keeppics.com

Voir aussi : Confidentialité · Violations de données