Sécurité · Divulgation des vulnérabilités

La sécurité chez Manera

Manera est bâtie par un fondateur solo en partenariat avec Claude. Cela rend notre chaîne d'approvisionnement inhabituellement courte, mais cela signifie aussi que nous ne pouvons pas nous permettre une réponse lente quand les choses tournent mal. Cette page est notre engagement public sur la façon dont nous gérons la sécurité — pour les chercheurs, pour les clients et pour les auditeurs.

Signaler une vulnérabilité : [email protected]

1. Politique de divulgation des vulnérabilités

Si vous avez trouvé une vulnérabilité de sécurité dans un produit ou un domaine Manera, nous voulons en entendre parler. Écrivez à [email protected] avec :

Une description claire de la vulnérabilité et de l'URL ou de l'actif touché
Étapes de reproduction (requête curl, capture d'écran de navigateur, preuve de concept minimale)
L'impact que vous croyez qu'elle a (divulgation de données, prise de contrôle de compte, RCE, etc.)
Si vous comptez publier un compte rendu et selon quel calendrier

Nos engagements de niveau de service

24 hAccusé de réception

7 jCorrectif critique

30 jCorrectif élevé / moyen

À la résolution, nous publions un CVE (le cas échéant), créditons le rapporteur (s'il le souhaite) et mettons à jour le journal des modifications de la sous-application touchée. Nous ne bâillonnons pas les chercheurs et n'exigeons pas d'entente de non-divulgation avant de discuter des détails techniques.

2. Portée

Dans la portée — chaque domaine que nous exploitons, y compris :

OUImaneratech.com (site corporatif, facturation, inscription, passerelle /api)
OUI*.maneratech.com sous-domaines des sous-applications : cyber.maneratech.com, treasury.maneratech.com, lexiworld.maneratech.com, threatpulse.maneratech.com, fxwatch.maneratech.com, neip.maneratech.com, oracle.maneratech.com, talentintel.maneratech.com, adversarialai.maneratech.com et le reste du portefeuille de 25 applications
OUIbiditapps.com et les sous-domaines des pétales Bidit (le cas échéant)

Hors de la portée — services tiers que nous utilisons comme sous-traitants. Signalez-les directement au fournisseur :

NONStripe infrastructure de facturation → stripe.com/contact/security
NONAnthropic / API Claude → anthropic.com/responsible-disclosure-policy
NONCloudflare infrastructure CDN/DNS/WAF → hackerone.com/cloudflare
NONWise services bancaires/trésorerie → divulgation responsable de wise.com
NONGoogle Workspace courriel opérationnel → google.com/about/appsecurity

Les attaques volumétriques, les attaques par ingénierie sociale contre le personnel de Manera et les tests de sécurité physique contre l'un des tiers ci-dessus sont également hors de la portée.

3. Refuge sécuritaire

Les chercheurs agissant de bonne foi ne feront pas l'objet de poursuites de la part de Manera Technologies Inc.

Si vous faites un effort raisonnable et de bonne foi pour respecter cette politique, nous n'engagerons ni n'appuierons aucune poursuite contre vous pour vos recherches, y compris en vertu de l'article 342.1 du Code criminel canadien (utilisation non autorisée d'ordinateur), du Computer Fraud and Abuse Act des États-Unis ou de lois équivalentes dans votre juridiction. Nous travaillerons avec vous pour résoudre le problème et vous créditer publiquement si vous le souhaitez.

Ce que « bonne foi » signifie en pratique :

Ne pas accéder, exfiltrer ou détruire les données des clients — cessez les tests dès que vous pouvez confirmer l'existence du problème
Ne pas effectuer d'attaques par déni de service, par force brute ou volumétriques
Ne pas divulguer publiquement avant que nous ayons eu une fenêtre raisonnable pour corriger (par défaut : 90 jours après l'accusé de réception, plus tôt par accord mutuel)
Ne pas faire d'ingénierie sociale auprès du personnel, des clients ou des fournisseurs de Manera

4. Programme de primes

Manera n'offre pas actuellement de primes en argent. Nous sommes une entreprise d'une seule personne en début de revenu et nous préférons dépenser cet argent en qualité d'ingénierie plutôt qu'en programme de primes de niveau marketing. Nous offrons :

Crédit public sur cette page et dans le journal des modifications de la sous-application touchée (au choix du chercheur — crédité ou anonyme)
Une lettre de reconnaissance signée sur le papier à en-tête de Manera Technologies Inc.
Un abonnement Manera Mesh Tier gratuit pour l'année civile du rapport (le cas échéant)

Mettre en place un programme structuré de primes en argent est sur notre feuille de route une fois que nous aurons franchi 1 M$ ARR. Nous l'annoncerons sur cette page lors de son lancement.

5. Posture de conformité

En coursSOC 2 Type II — contrôles en place ; fenêtre d'observation ouverte au 2e semestre 2026. Rapport Type II prévu mi-2027.
Feuille de routeISO/IEC 27001 — analyse des écarts prévue après le SOC 2 ; certification visée fin 2027.
ConformeLoi 25 (Québec) — Responsable de la protection des renseignements personnels désigné, processus d'évaluation des facteurs relatifs à la vie privée (EFVP) en place, flux de notification d'incident testé. Addendum de traitement des données (DPA) disponible sur demande.
ConformeRGPD article 28 — DPA disponible ; sous-traitants divulgués ci-dessous ; routage en périphérie UE/CA via Cloudflare lorsque disponible ; flux de demande d'accès des personnes concernées (DAPC) actif.
ConformeLPRPDE (Canada fédéral) — la politique de confidentialité à /privacy couvre le consentement, l'accès, la correction, la conservation et la notification d'atteinte.
Feuille de routeHIPAA / HITECH — non applicable actuellement ; à revoir si une entité couverte signe un contrat avec nous sous BAA.

6. Sous-traitants

Les tiers suivants traitent les données des clients pour notre compte. Nous donnons un préavis de 30 jours avant d'ajouter tout nouveau sous-traitant ayant accès aux données des clients.

Anthropic

Inférence IA (Claude) pour chaque sortie Manera Intelligence. Mise en cache des invites pour la gouvernance des coûts, éphémère par défaut — les entrées des clients ne servent pas à entraîner les modèles d'Anthropic. La gouvernance des coûts par client applique un seuil de marge de 80 % à l'intérieur de notre chemin d'inférence.
Stripe

Facturation des abonnements, traitement des paiements, facturation. PCI DSS niveau 1. Les données de carte ne touchent jamais les serveurs Manera.
Wise

Règlement multidevises et opérations de trésorerie. Les données des clients ne sont pas partagées — Wise ne voit que l'activité bancaire propre à Manera.
Cloudflare

DNS, CDN, protection DDoS, Cloudflare Tunnel pour le routage des sous-applications. Routage en périphérie UE/CA lorsque disponible.
Google Workspace

Courriel opérationnel et calendrier (sales@, support@, security@, kao@). Les données applicatives des clients ne sont pas stockées ici.

7. Pratiques de sécurité

Application du seuil de marge de 80 % sur les coûts d'IA. Chaque appel Claude passe par shared/usage_governor.py, qui court-circuite avec un HTTP 402 lorsque le budget mensuel d'un client est épuisé. Comme le seuil est gravé dans le chemin d'inférence, nous n'avons aucun incitatif commercial à divulguer des données, à affaiblir la mise en cache ou à dégrader la qualité du modèle.
Chaînes d'audit SHA-256 sur toutes les sorties. Chaque événement IncidentStage, prédiction Oracle, document de chronomètre d'atteinte LexiWorld et sortie de cascade de sanctions NEIP est horodaté par hachage à l'écriture. Les clients peuvent vérifier la provenance et l'évidence d'altération localement.
Plafonds de budget par client. Les 25 applications en production enveloppent les appels Claude dans governed_create(). BudgetExceededException remonte sous forme de HTTP 402 — jamais de dépassement silencieux.
Application du paywall. 28/28 applications de la surface auditée utilisent la barrière de droits partagée. Pas de surprise « gratuit pour l'instant, facturé plus tard ».
Pile juridique à source unique. shared/legal_pages.py rend /terms, /privacy, /disclaimer, /acceptable-use, /data-protection à l'identique sur tous les domaines. Les mises à jour se propagent atomiquement.
Doctrine de codage défensif. Chaque intégration externe (Anthropic, Wise, Stripe, Cloudflare, flux tiers) est enveloppée dans try/except. Si une dépendance échoue ou est mal configurée, l'application environnante se dégrade gracieusement plutôt que de retourner un 500.
Jetons d'API en lecture seule par défaut. L'intégration Wise utilise un jeton en lecture seule même si nous avons une option avec portée d'écriture. Nous acceptons le coût (pas d'abonnement webhook automatisé) en échange d'un rayon d'explosion plus petit.
Sécurité du transport. TLS 1.2+ appliqué via Cloudflare ; HSTS preload sur maneratech.com ; HTTP rétrogradé vers HTTPS en périphérie.
Authentification du courriel. SPF + DMARC appliqués sur maneratech.com ; déploiement DKIM en cours (admin Workspace en attente). Le courriel sortant des adresses de facturation, sécurité et opérationnelles passe l'alignement.

8. Améliorations récentes

Nous publions une page d'état publique et un résumé du journal des modifications de tout le portefeuille à /status. Les améliorations matérielles de sécurité sont également documentées dans la documentation de la sous-application touchée. En date de mai 2026 : 78 % de couverture de mise en cache des invites sur la surface IA, chemins d'inférence gouvernés dans 25/25 applications, propagation à source unique du DPA sur tous les domaines.

9. `/.well-known/security.txt`

Nous publions un pointeur lisible par machine de divulgation de sécurité à /.well-known/security.txt conformément au RFC 9116. L'outillage automatisé de divulgation de vulnérabilités peut utiliser ce fichier pour découvrir le canal de contact sans analyser cette page.

Des questions ? Joignez le fondateur directement : [email protected]

Manera Technologies Inc. · À propos · Confiance · Confidentialité · Conditions · DPA · security.txt