# Politique de Divulgation Responsable - Blob
# Conforme RFC 9116 (https://www.rfc-editor.org/rfc/rfc9116.html)

Contact: mailto:security@blobsurf.com
Expires: 2026-12-31T23:59:59.000Z
Preferred-Languages: fr, en
Canonical: https://blobsurf.com/.well-known/security.txt

# Politique de Divulgation
Policy: https://blobsurf.com/security-policy

# Remerciements
Acknowledgments: https://blobsurf.com/security-hall-of-fame

# Divulgation responsable
# Les signalements de sécurité sont étudiés via le contact ci-dessus.

## Scope
# - Vulnérabilités de sécurité uniquement (pas de bugs fonctionnels)
# - API publique : /api/auth/*, /api/public/*
# - Application web : https://blobsurf.com/*
# - Exclure : /admin/*, /api/admin/* (accès restreint)

## Règles d'engagement
# 1. Ne PAS accéder, modifier ou supprimer des données d'autres utilisateurs
# 2. Ne PAS effectuer d'attaques DoS/DDoS
# 3. Ne PAS tester sur des comptes réels sans consentement
# 4. Utiliser uniquement vos propres comptes de test
# 5. Divulguer de manière responsable (délai de correction : 90 jours)
# 6. Ne PAS divulguer publiquement avant correction

## Vulnérabilités hors scope
# - SPF/DKIM/DMARC (email)
# - SSL/TLS configuration (géré par infrastructure)
# - Clickjacking (X-Frame-Options: DENY déjà en place)
# - Absence de rate limiting (déjà implémenté)
# - Vulnérabilités nécessitant interaction physique
# - Social engineering

## Contact
# Merci de reporter les vulnérabilités à : security@blobsurf.com
# Temps de réponse initial : < 48h
# Temps de correction P0/P1 : < 7 jours

## Conformité légale (France)
# Code Pénal Art. 323-1 : L'accès frauduleux à un système informatique est puni
# de 2 ans d'emprisonnement et de 60 000€ d'amende.
# Cette politique décrit le canal de signalement responsable pour les surfaces
# listées dans le scope.

# RGPD : Ne pas exfiltrer ou divulguer de données personnelles.
# En cas de découverte accidentelle, contacter immédiatement security@blobsurf.com

## PGP Key (optionnel)
# Encryption: https://keys.openpgp.org/vks/v1/by-fingerprint/FINGERPRINT_HERE

# Hiring
# Consultez https://blobsurf.com/careers