Trust
Politique de divulgation bug bounty
Nous accueillons la divulgation coordonnée de vulnérabilités. Signaler à security@legalaudit.ch.
Dans le périmètre
- Domaine legalaudit.ch et sous-domaines de LegalAudit SA.
- Logique applicative authentifiée et non authentifiée.
- Frontières d'autorisation / tenancy.
- Injection côté serveur, SSRF, désérialisation, conditions de course.
- Intégrité des dossiers, primitives de tamper sur la chain d'audit.
Hors périmètre
- DoS, attaques volumétriques, brute force.
- Self-XSS, en-têtes best-practice manquants sans exploit fonctionnel.
- Ingénierie sociale du personnel ou des clients LegalAudit.
- Attaques physiques sur bureaux ou data centers.
- Services tiers (Stripe, AWS) — signaler directement à eux.
Paliers de récompense (placeholders — programme formel Q3 2026)
| Sévérité | Récompense (CHF) |
|---|---|
| Basse | 100+ |
| Moyenne | 500+ |
| Haute | 2000+ |
| Critique | 5000+ |
Signalement
- Email à security@legalaudit.ch avec étapes de reproduction claires.
- Utiliser la clé PGP pour tout payload contenant des données clients.
- Ne pas exfiltrer plus de données que strictement nécessaire à la preuve.
- Respecter une fenêtre de 90 jours avant divulgation publique.
La recherche de bonne foi dans le cadre de cette politique n'entraîne aucune action légale.
Document informatif publié par LegalAudit SA. Les déclarations reflètent l'état actuel des contrôles et sont révisées trimestriellement. Elles ne constituent pas une garantie contractuelle sauf intégration dans un accord signé. Pour des termes contraignants, demander le DPA contresigné à privacy@legalaudit.ch.