Conformité & confidentialité
Mentions légales, confidentialité & divulgation responsable
Informations légales obligatoires (LCEN 2004-575, RGPD art. 13-14) et politique de divulgation responsable conforme RFC 9116.
Éditeur du site
- Raison sociale
- OB2J SAS
- Forme
- Société par Actions Simplifiée
- Adresse
- 22 rue de l'Arcade, 75008 Paris, France
- RCS
- Paris B 525 074 478
- SIREN
- 525 074 478
- TVA intracommunautaire
- FR41525074478
- Capital social
- 10 000 €
- Directeur de la publication
- Julien Ott
- Contact
- scout@appaloosa.io
Hébergeur
- Hébergeur
- OB2J SAS
- Localisation
- France — VPS souverain (compatible SecNumCloud / ANSSI)
- Note
- Aucune donnée utilisateur n'est transférée hors UE. Pas de CDN tiers actif sur les pages.
Politique de confidentialité
Appaloosa Scout est conçu pour fonctionner sans tracking utilisateur. Voici les traitements résiduels.
Pas de compte, pas de cookie
Les pages publiques ne créent ni session, ni cookie, ni token de suivi. Le préférence de langue est conservée via paramètre d'URL (/en/...).
Adresses IP
Les IP source des soumissions /submit et des appels API sont hashées (SHA-256 + sel serveur) pour le rate-limit. L'IP en clair n'est jamais stockée. Les logs serveur web standards (1 ligne par requête) conservent l'IP brute 7 jours puis sont rotés ; ils ne sont pas indexés ni croisés.
Fichier CSV /audit
Le fichier est parsé en mémoire et le rapport généré côté serveur le temps de la requête. Aucun stockage durable, aucun envoi à un tiers. Le rapport est oublié à la fermeture du navigateur.
Emails reçus
Les emails envoyés à scout@appaloosa.io ou dpo@appaloosa.io sont traités pour répondre à la demande (clé API, signalement, exercice de droit RGPD). Conservation : 12 mois, sauf si une obligation légale impose un délai plus long.
Cookies
Aucun cookie tiers, aucun cookie analytique. Le seul cookie potentiellement déposé est celui de l'espace /admin (HttpOnly, SameSite=Lax, durée de session), réservé aux administrateurs OB2J.
Vos droits RGPD
Droits d'accès, rectification, effacement, limitation, opposition et portabilité (RGPD art. 15-22). Si vous avez utilisé Scout sans compte, nous ne disposons d'aucune donnée personnelle vous identifiant. Les demandes liées aux soumissions /submit nécessitent de fournir l'IP / l'horodatage pour identification (réversibilité via hash + sel).
Délégué à la protection des données (DPO)
Contact DPO : dpo@appaloosa.io
Conditions d'utilisation
L'usage du site et de l'API est libre, dans le respect des points ci-dessous.
- Service fourni « tel quel ». Les données proviennent de sources publiques (NVD, CISA KEV, advisories vendor) — aucune garantie d'exhaustivité ou d'exactitude n'est apportée. Toute décision de remédiation reste sous la responsabilité de l'administrateur MDM.
- L'API est rate-limitée. Tentative de contournement, scraping massif ou DDoS sont interdits et peuvent entraîner blocage.
- Citation des données et liens entrants bienvenus — mention « Source : Appaloosa Scout (https://scout.appaloosa.io) » appréciée.
- Les clés API sont nominatives. Pas de partage entre organisations. Révocation immédiate sur demande.
Divulgation responsable
Si vous découvrez une vulnérabilité sur Scout, merci de nous contacter AVANT toute publication.
- Contact : security@appaloosa.io
- Délai de réponse cible : 72 h ouvrées. Résolution / coordination de divulgation : 90 j max.
- Champ : scout.appaloosa.io (front + API). Hors-scope : NVD, CISA, sources amont citées publiquement.
- Pas de bug bounty monétaire à ce jour. Reconnaissance publique (acknowledgments) sur demande.
/.well-known/security.txt (RFC 9116)
Dernière mise à jour : 2026-05-14