Dernière mise à jour : 22 mai 2026
Nous accueillons les rapports des chercheurs en sécurité. Cette page décrit comment signaler une vulnérabilité et à quoi vous attendre de notre réponse. L'équivalent lisible par machine selon RFC 9116 est disponible sur /.well-known/security.txt.
Envoyez un email à security@upinity.com avec : description de la vulnérabilité, endpoint ou composant affecté, étapes de reproduction et (si applicable) un proof-of-concept. Merci de ne pas divulguer publiquement les vulnérabilités avant que nous ayons eu l'occasion de les acquitter et de les corriger.
Dans le scope : upinity.com (site marketing), app.upinity.com (application SaaS), go.powerb.swiss (instance Mautic gérant nos formulaires). Hors du scope : social engineering ou phishing du personnel POWERB, déni de service ou attaques volumétriques, vulnérabilités dans les services tiers dont nous dépendons (Stripe, hébergeurs — signalez-leur directement).
Nous acquittons les nouveaux rapports dans les 2 jours ouvrés. Évaluation initiale et classification de sévérité dans les 5 jours ouvrés. Le calendrier de correction ou d'atténuation dépend de la sévérité et est communiqué dans notre réponse d'acquittement.
Nous n'opérons pas actuellement de programme bug bounty payant. Les chercheurs qui signalent des vulnérabilités valides de manière responsable sont crédités dans un hall of fame public (avec leur consentement) et reçoivent une lettre de reconnaissance écrite.
Nous visons l'alignement avec les contrôles SOC 2 et les pratiques ISO 27001. La conformité RGPD / nLPD suisse est détaillée dans notre Politique de confidentialité. Des certificats de conformité spécifiques peuvent être demandés à sales@upinity.com sous NDA.
Nous ne poursuivrons pas en justice les chercheurs qui suivent cette politique, agissent de bonne foi, n'accèdent ni ne modifient pas de données au-delà de ce qui est nécessaire pour démontrer la vulnérabilité, et n'affectent pas la disponibilité du service.