Responsible Disclosure Policy
Helping us keep Akordans secure
Effective date: 25 March 2026
Akordans takes the security of our platform and our users' data extremely seriously. We welcome reports from security researchers who discover potential vulnerabilities.
Scope
In scope:
- akordans.com and all subdomains
- api.akordans.com
- The Akordans web and mobile applications
- Our API endpoints
Out of scope:
- Third-party services (Stripe, Resend, Anthropic)
- Social engineering or phishing attacks
- Physical security
- Denial of service (DoS/DDoS) attacks
- Automated scanning without prior approval
What to Report
We are particularly interested in:
| Vulnerability Type | Examples |
|---|---|
| Authentication issues | Broken login, session fixation, JWT vulnerabilities |
| Authorisation issues | Accessing other users' data, privilege escalation |
| Data exposure | Unintended exposure of personal or dispute data |
| Injection attacks | SQL injection, XSS, command injection |
| API security | Insecure endpoints, missing rate limiting, IDOR |
| CSRF | Missing or bypassable CSRF protection |
How to Report
Email: security@akordans.com
Please include in your report:
- A clear description of the vulnerability
- Step-by-step instructions to reproduce it
- The potential impact if exploited
- Any proof-of-concept code or screenshots
- Your suggested fix (optional but appreciated)
For sensitive reports, request our PGP key before sending.
Our Commitments to You
| Commitment | Timeline |
|---|---|
| Acknowledge your report | Within 48 hours |
| Provide a status update | Within 7 days |
| Resolve critical vulnerabilities | Within 30 days |
| Notify you when resolved | Upon fix deployment |
We commit to:
- Not pursuing legal action against researchers acting in good faith
- Crediting you in our security acknowledgements (if you wish)
- Keeping you informed throughout the resolution process
Rules of Engagement
To qualify for responsible disclosure protections, you must:
- ✅ Only test on accounts you own or have explicit permission to test
- ✅ Stop immediately if you encounter any personal data
- ✅ Report findings promptly and privately
- ✅ Give us reasonable time to respond before public disclosure
- ❌ Not access, modify, or delete other users' data
- ❌ Not perform denial of service testing
- ❌ Not use automated scanners without prior written approval
- ❌ Not publicly disclose before we have resolved the issue
Security Acknowledgements
We maintain a Hall of Fame for researchers who responsibly disclose valid vulnerabilities. We do not currently offer monetary bounties but are considering a formal bug bounty programme.
Contact
Security issues: security@akordans.com General enquiries: support@akordans.com Response time: within 48 hours for security reports
Comment Akordans protège vos données
Résidence des données — UE uniquement
Toutes les données personnelles et les documents de litige sont stockés exclusivement sur une infrastructure basée dans l'UE (Hetzner, Allemagne). Les données ne quittent pas l'UE sauf pour l'inférence IA via l'API d'Anthropic, couverte par les clauses contractuelles types (CCT) et l'avenant de traitement des données UE d'Anthropic.
Chiffrement
- En transit : TLS 1.3 imposé sur tous les points de terminaison (akordans.com et api.akordans.com)
- Au repos : chiffrement AES-256 pour tous les documents de litige et données personnelles stockés
- Base de données : chiffrée au niveau de la couche de stockage (volumes gérés Hetzner)
Conservation des données
- Journaux de conformité au Règlement IA UE : 3 ans (Art. 12(1)) — modèle, version du prompt, nombre de tokens, résumés de sortie
- Documents de litige : 12 mois après la clôture du litige, puis suppression définitive
- Suppression de compte : délai de grâce de 30 jours au titre de l'Art. 17 du RGPD avant suppression définitive
- Dossiers de paiement : 7 ans (obligation du droit fiscal européen, traités et conservés par Stripe)
Aucune formation IA avec vos données
Akordans utilise l'API d'Anthropic en mode zéro rétention de données. Vos prompts et complétions ne sont pas utilisés pour entraîner les modèles d'Anthropic. Cela est garanti contractuellement dans notre accord avec Anthropic. Voir la politique d'utilisation d'Anthropic pour les détails.
Sous-traitants tiers
| Anthropic (Claude IA) | États-Unis (CCT en place) |
| Hetzner | Allemagne (UE) |
| Stripe | États-Unis (CCT en place) |
| Resend | États-Unis (CCT en place) |