Politique de sécurité et divulgation.

I. Contact CERT

Pour signaler une vulnerabilite sur Orchessia Trust (site vitrine ou plateforme) :

• Formulaire
  page contact — objet « sécurité »
• Accuse de reception
  48 heures ouvrees

II. Divulgation coordonnee

Orchessia Trust applique une politique de divulgation responsable (CVD). Delai standard 90 jours, prolongable si la vulnerabilite est critique et necessite plus de temps pour un patch ordonne.

Aucune poursuite judiciaire contre les chercheurs respectant ce delai et agissant de bonne foi.

III. Divulgation responsable

Nous accueillons les rapports de vulnérabilités selon le standard CVD (Coordinated Vulnerability Disclosure). Signalez une vulnérabilité via notre page contact. Réponse initiale sous 48 heures ouvrées.

IV. Périmètre protege

• Domaine trust.orchessia.fr et sous-domaines
• Portail public de vérification trust.orchessia.fr/verify
• Bibliotheques @mowibo-trust/sdk (Node.js et Python)
• Certificat TSA Orchessia Trust et sa chaine de confiance

V. Hors périmètre

• Brute force sans contournement de limitation demontre
• Vulnerabilites necessitant un accès physique aux serveurs clients
• Vulnerabilites theoriques sans preuve de concept reproductible
• Self-XSS sans contexte d'exploitation reel

VI. Auditabilité du code

La plateforme Orchessia Trust est conçue pour être auditable de bout en bout : cryptographie native sans bibliothèque externe opaque, registres vérifiables hors-ligne. Sous accord de non-divulgation, un RSSI ou un auditeur externe mandaté par l'acheteur peut consulter le code source et la documentation technique.