Cyclezen

Document légal

Sécurité & divulgation responsable

La sécurité de nos utilisatrices est une priorité absolue. Si vous découvrez une vulnérabilité dans Cyclezen, nous vous remercions de nous la signaler de manière responsable, selon les modalités décrites ci-dessous.

Comment signaler une vulnérabilité

Envoyez un email à security@cyclezen.ai avec :

  • une description claire et reproductible du problème ;
  • la version de l'application, du navigateur ou de l'OS concerné ;
  • les éventuels logs, captures d'écran ou preuves de concept ;
  • vos coordonnées de retour (email).

Si vous le souhaitez, vous pouvez chiffrer votre message, la clé PGP de l'équipe sécurité sera publiée sur cette page avant le lancement de la beta (juin 2026).

Nos engagements

  • Accusé de réception sous 5 jours ouvrés.
  • Mise à jour de l'avancement au moins toutes les deux semaines.
  • Notification de la résolution et, sur demande, mention publique du chercheur ayant signalé la faille.
  • Safe harbor : Cyclezen s'engage à ne pas poursuivre judiciairement les chercheurs en sécurité agissant de bonne foi, dans le respect des règles ci-dessous.

Périmètre

Sont concernés :

  • Le site cyclezen.ai et ses sous-domaines de production.
  • L'application mobile iOS Cyclezen (App Store, à partir de la beta de juin 2026).
  • Les API publiques exposées par api.cyclezen.ai.

Sont exclus du périmètre :

  • Les services tiers à signaler directement à l'éditeur concerné.
  • Les attaques par déni de service (DoS, DDoS).
  • Le spam, le phishing ou l'ingénierie sociale ciblant nos collaborateurs ou nos utilisatrices.
  • Les vulnérabilités physiques de nos locaux.

Règles de bonne conduite

Nous demandons aux chercheurs en sécurité de :

  • Ne pas accéder, modifier ou supprimer des données autres que les leurs.
  • Utiliser exclusivement des comptes de test que vous avez créés.
  • Ne pas dégrader la disponibilité du service.
  • Ne pas exfiltrer de données : un seul accès suffit pour démontrer la vulnérabilité.
  • Ne pas divulguer publiquement la vulnérabilité avant qu'elle ne soit corrigée et que nous nous soyons accordés sur un calendrier de communication (typiquement 90 jours à compter du signalement).

Remerciements

Cyclezen examine chaque signalement de vulnérabilité et remerciera personnellement les chercheurs ayant contribué à la sécurité de l'application.

Contact

security@cyclezen.ai