Skip to main content
Security

Responsible Disclosure Policy

Helping us keep Akordans secure

Effective date: 25 March 2026

Akordans takes the security of our platform and our users' data extremely seriously. We welcome reports from security researchers who discover potential vulnerabilities.

Scope

In scope:

  • akordans.com and all subdomains
  • api.akordans.com
  • The Akordans web and mobile applications
  • Our API endpoints

Out of scope:

  • Third-party services (Stripe, Resend, Anthropic)
  • Social engineering or phishing attacks
  • Physical security
  • Denial of service (DoS/DDoS) attacks
  • Automated scanning without prior approval

What to Report

We are particularly interested in:

Vulnerability TypeExamples
Authentication issuesBroken login, session fixation, JWT vulnerabilities
Authorisation issuesAccessing other users' data, privilege escalation
Data exposureUnintended exposure of personal or dispute data
Injection attacksSQL injection, XSS, command injection
API securityInsecure endpoints, missing rate limiting, IDOR
CSRFMissing or bypassable CSRF protection

How to Report

Email: security@akordans.com

Please include in your report:

  1. A clear description of the vulnerability
  2. Step-by-step instructions to reproduce it
  3. The potential impact if exploited
  4. Any proof-of-concept code or screenshots
  5. Your suggested fix (optional but appreciated)

For sensitive reports, request our PGP key before sending.

Our Commitments to You

CommitmentTimeline
Acknowledge your reportWithin 48 hours
Provide a status updateWithin 7 days
Resolve critical vulnerabilitiesWithin 30 days
Notify you when resolvedUpon fix deployment

We commit to:

  • Not pursuing legal action against researchers acting in good faith
  • Crediting you in our security acknowledgements (if you wish)
  • Keeping you informed throughout the resolution process

Rules of Engagement

To qualify for responsible disclosure protections, you must:

  • ✅ Only test on accounts you own or have explicit permission to test
  • ✅ Stop immediately if you encounter any personal data
  • ✅ Report findings promptly and privately
  • ✅ Give us reasonable time to respond before public disclosure
  • ❌ Not access, modify, or delete other users' data
  • ❌ Not perform denial of service testing
  • ❌ Not use automated scanners without prior written approval
  • ❌ Not publicly disclose before we have resolved the issue

Security Acknowledgements

We maintain a Hall of Fame for researchers who responsibly disclose valid vulnerabilities. We do not currently offer monetary bounties but are considering a formal bug bounty programme.

Contact

Security issues: security@akordans.com General enquiries: support@akordans.com Response time: within 48 hours for security reports

Protection des données

Comment Akordans protège vos données

Résidence des données — UE uniquement

Toutes les données personnelles et les documents de litige sont stockés exclusivement sur une infrastructure basée dans l'UE (Hetzner, Allemagne). Les données ne quittent pas l'UE sauf pour l'inférence IA via l'API d'Anthropic, couverte par les clauses contractuelles types (CCT) et l'avenant de traitement des données UE d'Anthropic.

Chiffrement

  • En transit : TLS 1.3 imposé sur tous les points de terminaison (akordans.com et api.akordans.com)
  • Au repos : chiffrement AES-256 pour tous les documents de litige et données personnelles stockés
  • Base de données : chiffrée au niveau de la couche de stockage (volumes gérés Hetzner)

Conservation des données

  • Journaux de conformité au Règlement IA UE : 3 ans (Art. 12(1)) — modèle, version du prompt, nombre de tokens, résumés de sortie
  • Documents de litige : 12 mois après la clôture du litige, puis suppression définitive
  • Suppression de compte : délai de grâce de 30 jours au titre de l'Art. 17 du RGPD avant suppression définitive
  • Dossiers de paiement : 7 ans (obligation du droit fiscal européen, traités et conservés par Stripe)

Aucune formation IA avec vos données

Akordans utilise l'API d'Anthropic en mode zéro rétention de données. Vos prompts et complétions ne sont pas utilisés pour entraîner les modèles d'Anthropic. Cela est garanti contractuellement dans notre accord avec Anthropic. Voir la politique d'utilisation d'Anthropic pour les détails.

Sous-traitants tiers

Anthropic (Claude IA)États-Unis (CCT en place)
HetznerAllemagne (UE)
StripeÉtats-Unis (CCT en place)
ResendÉtats-Unis (CCT en place)