Politique de divulgation responsable de Credendo
Chez Credendo, nous considérons la sécurité de nos systèmes comme une priorité absolue. Cependant, quels que soient les efforts déployés pour assurer la sécurité des systèmes, il reste possible que des vulnérabilités se présentent.
Si vous découvrez une vulnérabilité, nous souhaitons en être informés afin de pouvoir prendre des mesures le plus rapidement possible. Nous vous demandons de nous aider dans la protection de nos clients et nos systèmes et de ne pas divulguer ces vulnérabilités publiquement avant que nous ayons pu prendre des mesures correctives.
Cette politique de divulgation responsable s'applique à tous les systèmes de Credendo. En cas de doute, veuillez nous contacter à l’adresse vulnerability@credendo.com.
Dans le but d'éviter tout malentendu, tout mauvais usage ou divulgation d'informations confidentielles ou techniques concernant nos systèmes – y compris l'exploitation de vulnérabilités – est illégal et strictement interdit et pourrait donner lieu à des actions en justice de la part de Credendo. Votre coopération peut permettre d’empêcher de telles mesures et est grandement appréciée.
Si vous avez découvert une vulnérabilité, veuillez procéder comme suit :
- Signalez-la en envoyant un e-mail mentionnant vos découvertes à vulnerability@credendo.com.
- Veuillez crypter vos découvertes à l'aide de notre clé de cryptage PGP afin d'éviter que ces informations sensibles ne tombent entre de mauvaises mains ;
- Ne tirez pas profit de la vulnérabilité ou du problème que vous avez découvert, par exemple, en téléchargeant plus de données que nécessaire pour en démontrer la vulnérabilité ou en supprimant ou modifiant les données d'autres personnes ;
- Ne révélez pas le problème à d'autres personnes tant qu'il n'a pas été résolu ;
- Ne recourez pas à des attaques physiques contre la sécurité, par ingénierie sociale, par déni de service distribué, par spam ou par applications de tiers ; et
- Fournissez suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. En général, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités complexes peuvent nécessiter des explications supplémentaires.
Ce que nous promettons :
- Nous répondrons à votre signalement dans un délai de 15 jours ouvrables en fournissant notre évaluation du signalement ainsi qu’une date de résolution attendue.
- Si vous avez suivi les instructions ci-dessus et ne vous êtes pas livré à des comportements illégaux, préjudiciables ou contraires à l'éthique, nous n'engagerons aucune action judiciaire à votre égard en ce qui concerne le signalement.
- Nous traiterons votre signalement dans la plus stricte confidentialité et nous ne transmettrons pas vos données personnelles à des tiers sans votre autorisation.
- Nous vous tiendrons informé de l’évolution de la résolution du problème.
- Dans les informations publiques concernant le problème signalé, nous indiquerons votre nom en tant que découvreur du problème (à moins que vous ne souhaitiez qu'il en soit autrement).
- Enfin, pour vous remercier de votre aide, nous offrons une récompense pour chaque signalement de problème de sécurité dont nous n'avions pas encore connaissance. La politique de Credendo n'autorise toutefois pas les récompenses pécuniaires, d’aucune sorte. La récompense exacte sera déterminée par Credendo sur la base de la gravité de la fuite et de la qualité du signalement.
Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible, et nous souhaitons jouer un rôle actif dans la publication finale du problème après sa résolution.