Confiance & sécurité
Sécurité chez BreachVex
Notre métier, c'est la sécurité offensive. On s'applique les mêmes standards que ceux qu'on exige de nos clients.
Divulgation responsable
Si vous découvrez un problème de sécurité dans BreachVex ou notre infrastructure, on veut en entendre parler.
- Périmètre : le domaine breachvex.com, nos API publiques, le worker BreachVex et tout sous-domaine first-party.
- Safe harbor : nous ne poursuivrons pas en justice un chercheur agissant de bonne foi — pas de DoS, pas d'exfiltration au-delà de ce qui est nécessaire pour démontrer l'impact, pas d'ingénierie sociale envers nos équipes.
- Signalement : envoyez un email à security@breachvex.com avec un compte-rendu clair et des étapes de reproduction.
- Rapports chiffrés : demandez-nous notre canal chiffré privilégié dans votre email initial ; nous répondrons hors-bande.
- SLA : accusé de réception sous 48 heures. Cible de tri et correction de 30 jours pour les problèmes high/critical.
- Divulgation coordonnée : nous convenons d'une date de publication avec le rapporteur au cas par cas.
Hors périmètre
- Attaques par déni de service (DoS) ou DDoS contre notre infrastructure.
- Ingénierie sociale envers notre équipe, nos prestataires ou nos clients.
- Vulnérabilités dans des services tiers dont nous dépendons (à signaler au fournisseur en amont).
Traitement des données
- Workers éphémères : chaque scan exécute de vrais outils offensifs standards de l'industrie dans un conteneur isolé à usage unique, détruit à la fin du scan.
- Chiffrement au repos : AES-256 sur les données clients et artefacts de scan. TLS 1.3 en transit.
- Résidence des données en UE : toute notre infrastructure (hébergement, base de données, CDN) opère dans des régions UE.
- Nous ne collectons pas de données personnelles dans les scans. On extrait des preuves, pas des dossiers clients.
- Les logs worker sont conservés 7 jours pour le debug, puis purgés. Les rapports suivent vos réglages de rétention.
Infrastructure
Notre architecture de production :
- Exécution sandboxée : les workers tournent dans des conteneurs isolés à capacités restreintes et aucun accès au filesystem hôte.
- Isolation réseau : chaque scan tourne dans son propre namespace réseau ; pas de trafic cross-tenant.
- Aucune donnée client persistante sur les workers — l'état vit dans notre base chiffrée, pas sur la flotte.
Roadmap conformité
- SOC 2 Type II : roadmap conformité — évaluation active des cabinets d'audit, horizon 2027.
- ISO 27001 : roadmap conformité — évaluation active des cabinets d'audit, horizon 2027.
- RGPD : protection des données dès la conception. DPA disponible sur demande.
Autorisation & périmètre
Les clients doivent signer une autorisation avant tout lancement de scan. On refuse de scanner des actifs sans périmètre écrit explicite. Un pentest sans autorisation est illégal dans la plupart des juridictions — on ne sera pas partie prenante.
Hall of Fame
Les chercheurs ayant signalé des problèmes valides seront crédités ici — avec leur accord. Aucun signalement reçu à ce jour.
Politique lisible par machine : /.well-known/security.txt. Une question ? Contactez-nous.
Dernière mise à jour : 15 mai 2026 · Version de la politique 1.0