Sécurité — Divulgation Responsable
Nous prenons la sécurité au sérieux. Aidez-nous à protéger les données de santé.
Contact
Périmètre
- medova.health
- API routes at medova.health
- Application Next.js
- Supabase REST API
Hors périmètre
- Infrastructure Hetzner
- Services tiers
- DoS/DDoS
- Ingénierie sociale
- Sécurité physique
Règles
- NE détruisez PAS les données
- NE ciblez PAS la disponibilité
- N'accédez PAS aux comptes d'autrui
- Testez uniquement votre compte
- Signalez avant publication
Ce que nous cherchons
- SQL Injection, XSS, CSRF
- Auth bypass, élévation de privilèges
- IDOR
- Secrets/clés API exposés
- CORS, headers manquants
- Rate limiting bypass
- Open redirects
Récompenses
Medova est un projet pre-revenue. Nous offrons :
- Hall of Fame sur notre site
- Recommandation LinkedIn du CEO
- Référence pour portfolio
- Appel vidéo Q&A
- Reconnaissance à long terme pour CVEs critiques
Processus
- Envoyez à office@medova.health
- Accusé de réception sous 48h
- Évaluation sous 7 jours
- Fix sous 30 jours (Critique : 7 jours)
- Hall of Fame après le fix
Classification
| Niveau | Exemple |
|---|---|
| Critical | RCE, auth bypass total, fuite PII |
| High | Élévation de privilèges, IDOR |
| Medium | Stored XSS, CSRF |
| Low | Headers manquants, open redirect |
Infrastructure de sécurité
- 858+ politiques RLS
- CSP strict
- HSTS avec preload
- Rate limiting (Redis)
- ISO 27001 ISMS
- GDPR conforme
Hall of Fame
Soyez le premier. Signalez une vulnérabilité.