Privacy

Privacy Policy

Last updated: May 25, 2026

HyprVuln Labs ("we", "us", "our") is committed to protecting your personal data. This privacy policy explains how we collect, use, and safeguard your information when you use our website and security audit and bug hunting services, in compliance with the General Data Protection Regulation (GDPR - EU Regulation 2016/679) and applicable French data protection laws.

1. Data Controller

Data controller: HyprVuln Labs

Location: France

Contact: contact@hyprvuln.xyz

2. Data We Collect

We collect and process the following categories of personal data:

Data category	Purpose	Legal basis
Client identity (name, email, workspace, approved communication handles)	Service delivery, account access, communication	Contract performance
Program scope (assets, repositories, test accounts, exclusions)	Operating the security audit service	Contract performance
Source code (cloned temporarily)	Authorized testing and triage	Contract performance
Payment information	Processing transactions via Stripe	Contract performance
Technical data (IP address, browser type)	Website functionality and security	Legitimate interest

We do not collect data beyond what is strictly necessary for providing our services.

3. How We Use Your Data

Your personal data is used exclusively to:

Deliver the security audit and bug hunting services you request
Communicate findings, triage notes, monitoring alerts, and reports
Process payments through our payment provider (Stripe)
Ensure the security and proper functioning of our website
Comply with legal obligations

4. Source Code and Program Handling

Source code is our most sensitive material. We follow strict protocols:

Code is cloned into an isolated, ephemeral environment dedicated to authorized testing or triage
Temporary source code copies are deleted when no longer required for the program or report workflow
Code is encrypted at rest (AES-256) and in transit (TLS 1.3)
We do not use your code to train models or for any purpose beyond the audit
We do not share your code with any third party
A mutual NDA is available upon request

5. Data Sharing

We do not sell, rent, or trade your personal data. We share data only with:

Stripe — for payment processing (see Stripe's privacy policy)
Approved communication platforms such as Slack or Discord when configured by the client
OVH — for website hosting in France (see OVH's privacy policy)

All processors are bound by data processing agreements compliant with the GDPR.

6. Data Retention

Temporary source code copies: Deleted when no longer required for authorized testing or triage
Program reports: Retained for the duration of your subscription, then deleted within 30 days of cancellation unless a longer legal retention period applies
Payment records: Retained as required by French tax and accounting regulations (up to 10 years)
External communication messages: Subject to the configured platform's own retention policies

You may request deletion of all your data at any time by contacting us at contact@hyprvuln.xyz or via Discord.

7. Your Rights (GDPR)

Under the GDPR, you have the following rights:

Right of access — Obtain a copy of all personal data we hold about you
Right to rectification — Request correction of inaccurate data
Right to erasure — Request deletion of your personal data
Right to restriction — Request limitation of processing
Right to data portability — Receive your data in a structured, machine-readable format
Right to object — Object to processing based on legitimate interest
Right to withdraw consent — Where processing is based on consent, withdraw it at any time

To exercise any of these rights, contact us at contact@hyprvuln.xyz. We will respond within 30 days.

You also have the right to lodge a complaint with the French data protection authority: CNIL (Commission Nationale de l'Informatique et des Libertes) — www.cnil.fr.

8. International Transfers

Some of our processors (Stripe, Discord, GitHub) are based in the United States. These transfers are protected by appropriate safeguards, including Standard Contractual Clauses (SCCs) approved by the European Commission, or adequacy decisions where applicable.

9. Security Measures

We implement industry-standard security measures to protect your data:

AES-256 encryption at rest
TLS 1.3 encryption in transit
Isolated, ephemeral environments for code analysis and report reproduction
Access restricted to authorized HyprVuln operators and vetted researchers as required by the approved program scope
No persistent storage of source code beyond the approved program workflow

10. Cookies

For information about how we use cookies, please see our Cookie Policy.

11. Changes to This Policy

We may update this privacy policy from time to time. Any changes will be posted on this page with an updated revision date. We encourage you to review this policy periodically.

Confidentialité

Politique de confidentialité

Dernière mise à jour : 25 mai 2026

HyprVuln Labs (« nous », « notre ») s'engage à protéger vos données personnelles. La présente politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations lorsque vous utilisez notre site web et nos services d'audit de sécurité et de chasse aux vulnérabilités, conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la législation française applicable en matière de protection des données.

1. Responsable du traitement

Responsable du traitement : HyprVuln Labs

Localisation : France

Contact : contact@hyprvuln.xyz

2. Données que nous collectons

Nous collectons et traitons les catégories de données personnelles suivantes :

Catégorie de données	Finalité	Base légale
Identité du client (nom, e-mail, espace de travail, identifiants de communication approuvés)	Fourniture du service, accès au compte, communication	Exécution du contrat
Périmètre du programme (actifs, dépôts, comptes de test, exclusions)	Exploitation du service d'audit de sécurité	Exécution du contrat
Code source (cloné temporairement)	Tests autorisés et triage	Exécution du contrat
Informations de paiement	Traitement des transactions via Stripe	Exécution du contrat
Données techniques (adresse IP, type de navigateur)	Fonctionnement et sécurité du site	Intérêt légitime

Nous ne collectons aucune donnée au-delà de ce qui est strictement nécessaire à la fourniture de nos services.

3. Utilisation de vos données

Vos données personnelles sont utilisées exclusivement pour :

Fournir les services d'audit de sécurité et de chasse aux vulnérabilités que vous demandez
Communiquer les vulnérabilités, notes de triage, alertes de monitoring et rapports
Traiter les paiements via notre prestataire de paiement (Stripe)
Assurer la sécurité et le bon fonctionnement de notre site
Respecter nos obligations légales

4. Traitement du code source et des programmes

Le code source est notre matériel le plus sensible. Nous appliquons des protocoles stricts :

Le code est cloné dans un environnement isolé et éphémère dédié aux tests autorisés ou au triage
Les copies temporaires du code source sont supprimées dès qu'elles ne sont plus nécessaires au programme ou au processus de rapport
Le code est chiffré au repos (AES-256) et en transit (TLS 1.3)
Nous n'utilisons pas votre code pour entraîner des modèles ni à aucune fin autre que l'audit
Nous ne partageons pas votre code avec un quelconque tiers
Un accord de confidentialité (NDA) mutuel est disponible sur demande

5. Partage des données

Nous ne vendons, ne louons ni n'échangeons vos données personnelles. Nous ne partageons des données qu'avec :

Stripe — pour le traitement des paiements (voir la politique de confidentialité de Stripe)
Les plateformes de communication approuvées telles que Slack ou Discord lorsqu'elles sont configurées par le client
OVH — pour l'hébergement du site en France (voir la politique de confidentialité d'OVH)

Tous les sous-traitants sont liés par des accords de traitement des données conformes au RGPD.

6. Conservation des données

Copies temporaires du code source : supprimées dès qu'elles ne sont plus nécessaires aux tests autorisés ou au triage
Rapports de programme : conservés pendant la durée de votre abonnement, puis supprimés dans les 30 jours suivant la résiliation, sauf obligation légale de conservation plus longue
Justificatifs de paiement : conservés conformément à la réglementation fiscale et comptable française (jusqu'à 10 ans)
Messages de communication externes : soumis aux politiques de conservation propres à la plateforme configurée

Vous pouvez demander la suppression de toutes vos données à tout moment en nous contactant à contact@hyprvuln.xyz ou via Discord.

7. Vos droits (RGPD)

En vertu du RGPD, vous disposez des droits suivants :

Droit d'accès — Obtenir une copie de toutes les données personnelles que nous détenons à votre sujet
Droit de rectification — Demander la correction de données inexactes
Droit à l'effacement — Demander la suppression de vos données personnelles
Droit à la limitation — Demander la limitation du traitement
Droit à la portabilité — Recevoir vos données dans un format structuré et lisible par machine
Droit d'opposition — Vous opposer au traitement fondé sur l'intérêt légitime
Droit de retirer votre consentement — Lorsque le traitement repose sur le consentement, le retirer à tout moment

Pour exercer l'un de ces droits, contactez-nous à contact@hyprvuln.xyz. Nous répondrons dans un délai de 30 jours.

Vous avez également le droit d'introduire une réclamation auprès de l'autorité française de protection des données : la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.

8. Transferts internationaux

Certains de nos sous-traitants (Stripe, Discord, GitHub) sont situés aux États-Unis. Ces transferts sont encadrés par des garanties appropriées, notamment les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ou des décisions d'adéquation le cas échéant.

9. Mesures de sécurité

Nous mettons en œuvre des mesures de sécurité conformes aux standards de l'industrie pour protéger vos données :

Chiffrement AES-256 au repos
Chiffrement TLS 1.3 en transit
Environnements isolés et éphémères pour l'analyse du code et la reproduction des rapports
Accès restreint aux opérateurs HyprVuln autorisés et aux chercheurs vérifiés, selon le périmètre du programme approuvé
Aucun stockage persistant du code source au-delà du processus du programme approuvé

10. Cookies

Pour en savoir plus sur notre utilisation des cookies, veuillez consulter notre Politique relative aux cookies.

11. Modifications de la présente politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Toute modification sera publiée sur cette page avec une date de révision actualisée. Nous vous encourageons à consulter cette politique régulièrement.