ScoutAtlas
Légal · résumés en langage clair au-dessus de chaque section

Scout Atlas légal.

Langage clair d’abord, formel ensuite. Nous traitons les pages légales comme des produits — lisibles, bien versionnées et honnêtes sur ce que nous faisons et ne faisons pas.

Plain summary

Nous traitons la sécurité comme une fonctionnalité produit. Cette page liste nos sous-traitants, nos SLAs de réponse aux incidents et les règles de notre programme de divulgation de vulnérabilités. Pour le narratif, voir la page de sécurité publique.

Sous-traitants

Nous notifions les admins au moins 30 jours avant tout changement de sous-traitant. La liste live est miroir sur /security/sub-processors.json.

  • Supabase — base Postgres, authentification, row-level security. Région UE pour clubs européens, US à la demande.
  • Vercel — hébergement applicatif et edge delivery du site marketing et du shell authentifié.
  • Stripe — traitement des paiements pour essais self-serve. PCI-DSS Level 1.
  • Resend — email transactionnel (magic links, notifications, digests).
  • Cloudflare — DNS et protection DDoS.

Réponse aux incidents

  • Détection. Alerting temps réel sur anomalies d’authentification, pics d’erreurs et patterns d’accès BD. Rotation founder-on-call 24/7.
  • Triage. Sévérité classifiée sous 30 minutes (S1/S2/S3) selon runbook public.
  • Divulgation. Clubs affectés notifiés sous 72 h après confirmation, avec détail technique.
  • Post-mortem. Post-mortem écrit publié sous 14 jours, avec actions correctives et délais.

Divulgation de vulnérabilités

Nous opérons un programme ouvert. Écrivez à security@scoutatlas.co avec étapes de reproduction et (le cas échéant) PoC.

  • Nous accusons réception sous 48 h.
  • Nous nous engageons sur un délai de remédiation sous 7 jours, échelonné par sévérité.
  • Nous créditons les chercheurs dans le changelog quand les patches sortent — avec permission.
  • Nous nous engageons à ne pas poursuivre en justice les chercheurs de bonne foi qui suivent les règles.

Hors périmètre

Sont explicitement hors périmètre : attaques denial-of-service, social engineering du personnel, vulnérabilités dans services tiers déjà publiquement divulguées, et tests de sécurité physique.

Chiffrement

  • TLS 1.3 en transit, uniquement cipher suites modernes, HSTS preload.
  • AES-256-GCM au repos pour colonnes sensibles.
  • Chiffrement end-to-end pour messages Deal Room avec clés par salle que nous ne pouvons pas lire.
  • Enveloppes de clé par club pour flux privés opt-in (GPS, biométrie, médical).

Audits

  • Audit de préparation SOC 2 Type II — Q4 2026.
  • Test d’intrusion indépendant — annuel à partir de l’an 2 (2027).
  • Revue interne trimestrielle des permissions et logs d’audit.

Exploité par Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi (« Oney AŞ »), société anonyme constituée selon les lois de la République de Türkiye, siège social à İstanbul, Türkiye.

Dernière mise à jour · 5 mai 2026 · contact : legal@scoutatlas.co