Politique de sécurité

Comment nous protégeons vos données et comment signaler les vulnérabilités de manière responsable.

Politique de divulgation des vulnérabilités

Nous prenons la sécurité au sérieux. Si vous découvrez une vulnérabilité de sécurité, nous vous encourageons à la signaler de manière responsable en suivant le processus ci-dessous.

Signaler par e-mail

security@pluranet.org

Réponse sous 48 heures

Nous accusons réception de tous les signalements sous 48 heures

Résolution

Calendrier de résolution fourni sous 7 jours

Que signaler

Dans le périmètre

•Vulnérabilités d'authentification et d'autorisation
•Problèmes d'exposition ou de fuite de données
•Attaques par script intersite (XSS)
•Falsification de requête côté serveur (SSRF)

Hors périmètre

•Attaques par déni de service (DoS)
•Attaques par ingénierie sociale
•Problèmes de sécurité physique

Notre engagement

Accuser réception de votre signalement sous 48 heures

Fournir un calendrier de résolution sous 7 jours

Vous créditer publiquement (si vous le souhaitez) après la résolution

Ne jamais engager de poursuites judiciaires contre les signalements de bonne foi

Security Infrastructure

Our platform undergoes regular security reviews. Here are the security measures implemented as of January 2026:

Origin Validation

All mutation endpoints are protected with origin validation to prevent Cross-Site Request Forgery (CSRF) attacks.

Rate Limiting

IP-based rate limiting on all endpoints protects against abuse and brute-force attacks.

Turnstile Verification

Bot protection on public forms with fail-closed behavior in production mode.

Cryptographic Tokens

All public tokens are generated using secure cryptographic functions (gen_random_bytes).

Moderation Audit Trail

All moderation actions — including report resolutions, content approvals and rejections, user suspensions, and appeal decisions — are recorded in an immutable audit log. Moderators and administrators can review this log to ensure decisions are consistent and accountable.

Bot Protection on Polls & Surveys

Poll and survey creators can enable Cloudflare Turnstile verification on public polls and survey votes to prevent automated voting and bot abuse. In production, verification is fail-closed: any request without a valid secret key is automatically rejected.

Protected Endpoints

All sensitive endpoints are protected with origin validation and rate limiting:

PostsCommentsReportsModerationVotesBookmarksPollsSurveys

Politique de sécurité lisible par machine disponible à l'adresse

security.txt