Contact: mailto:security@monrhumato.fr
Contact: mailto:dpo@monrhumato.fr
Expires: 2027-04-21T00:00:00.000Z
Preferred-Languages: fr, en
Canonical: https://www.monrhumato.fr/.well-known/security.txt
Policy: https://www.monrhumato.fr/securite/divulgation-responsable
Acknowledgments: https://www.monrhumato.fr/securite/hall-of-fame
Hiring: https://www.monrhumato.fr/contact

# MonRhumato.fr — Plateforme indépendante d'évaluation de solutions
# numériques en rhumatologie. Pas de données de santé identifiables
# stockées (les préférences sont en localStorage navigateur).
# Reportez toute vulnérabilité à l'adresse ci-dessus.
#
# Périmètre dans le scope :
#   - *.monrhumato.fr (production Vercel — www, sous-domaines actifs)
#   - APIs publiques /api/*
#   - Configuration .well-known/*
#
# Hors périmètre (ne pas tester) :
#   - Phishing / social engineering
#   - DoS / DDoS / stress tests
#   - Spam / abus de formulaire de contact
#   - APIs tierces référencées (PubMed, ClinicalTrials, ANS, etc.)
#   - Auth Supabase (responsabilité Supabase Inc.)
#
# SLA :
#   - Accusé de réception : 72 h ouvrées
#   - Triage : 7 j
#   - Patch / atténuation : selon CVSS, 30 j max pour critique
#
# Récompense :
#   - Crédit dans le Hall of Fame (avec votre accord)
#   - Lettre de remerciement signée
#   - Pas de bug bounty monétaire à ce jour — possible évolution
#     future si volume de signalements le justifie.
#
# Voir aussi :
#   - /securite (posture sécurité publique)
#   - /violation-donnees (procédure RGPD Art. 33-34)
#   - /confidentialite (politique RGPD)