# Sahha.ma — Security disclosure policy (RFC 9116)

Contact: mailto:security@sahha.ma
Contact: https://sahha.ma/securite
Expires: 2027-04-26T17:39:32.357Z
Preferred-Languages: fr, en
Canonical: https://sahha.ma/.well-known/security.txt
Policy: https://sahha.ma/securite

# Pour signaler une vulnérabilité :
# 1. Envoyez un email à security@sahha.ma avec détails + PoC
# 2. Temps de réponse garanti : 48h ouvrées
# 3. Récompenses possibles pour découvertes critiques (bug bounty informel)
# 4. Respectez le Responsible Disclosure (90 jours)

# ═══════════════════ Données de santé ═══════════════════
# Les données santé patients (dossier, ordonnances, messagerie) sont chiffrées
# at-rest (AES-256) et in-transit (TLS 1.3). Hébergement au Maroc.
# Conformité : loi 09-08 (CNDP Maroc) + RGPD pour MRE.

# ═══════════════════ Scope ═══════════════════
# In-scope : *.sahha.ma, api.sahha.ma, sahha.ma
# Out-of-scope : subdomains test, staging