Chez Scamnetic, nous donnons la priorité à la sécurité de nos produits et services. Nous croyons en la transparence et encourageons la divulgation responsable des vulnérabilités et des préoccupations en matière de sécurité. Nous apprécions les efforts des chercheurs en sécurité et des pirates éthiques pour nous aider à identifier et à atténuer les risques pour nos utilisateurs et nos systèmes. Cette politique décrit la façon dont nous traitons les vulnérabilités de sécurité, le processus de signalement et les attentes à l’égard des chercheurs qui soumettent des vulnérabilités.

1. PORTÉE

Cette politique s’applique à tous les systèmes, services et produits sous la propriété et le contrôle de Scamnetic, y compris, mais sans s’y limiter :

• Applications Web
• Applications mobiles
• Les API
• Infrastructure interne

2. SIGNALER UNE VULNÉRABILITÉ

Si vous découvrez une vulnérabilité dans l’un de nos produits ou services, veuillez nous en informer par l’intermédiaire de notre canal de contact de sécurité désigné à [email protected].

Fournir autant de détails que possible pour nous aider à comprendre la vulnérabilité, notamment :

• Une description de la vulnérabilité
• Étapes pour le reproduire
• Toute charge utile ou validation de concept pertinente
• Version du produit ou environnement touché

3. CE QUE NOUS VOUS DEMANDONS DE FAIRE

• N’exploitez pas la vulnérabilité au-delà de la validation de concept nécessaire pour démontrer le problème.
• Ne pas accéder, modifier ou supprimer des données de systèmes ou de services qui ne sont pas directement liés à la vulnérabilité signalée.
• Ne divulguez pas publiquement la vulnérabilité tant que nous n’avons pas eu l’occasion d’y remédier et qu’un processus de divulgation coordonné n’est pas en place.

4. CE QUE NOUS PROMETTONS DE FAIRE

• Accuser réception du rapport dans les 7 jours ouvrables.
• Enquêtez sur le problème et travaillez avec le déclarant pour comprendre son impact et prioriser les mesures correctives.
• Vous tenir au courant de nos progrès et de la résolution de la vulnérabilité.
• Créditez votre contribution dans des avis de sécurité publique, si désiré, conformément aux pratiques de divulgation responsable.
• Coordonner la divulgation afin de minimiser les risques pour les utilisateurs, y compris en établissant un échéancier public pour la divulgation complète une fois que les mesures correctives seront en place.

5. NOTRE ENGAGEMENT À INTERVENIR RAPIDEMENT

Nous visons à corriger toutes les vulnérabilités signalées en temps opportun en fonction de leur gravité. Les vulnérabilités critiques seront classées par ordre de priorité et corrigées le plus rapidement possible, généralement dans les 30 jours. Les vulnérabilités moins graves peuvent prendre plus de temps à résoudre, selon la complexité et l’évaluation des risques.

6. CE QUE NOUS CONSIDÉRONS COMME UNE DIVULGATION RESPONSABLE

Nous suivons un modèle de divulgation coordonnée, ce qui signifie qu’une fois qu’une vulnérabilité est confirmée, nous travaillerons avec le déclarant pour établir un échéancier pour rendre un correctif accessible au public. La divulgation publique n’aura lieu qu’après que nous ayons fait des efforts raisonnables pour corriger et atténuer le problème.

7. EXCLUSIONS

Bien que nous appréciions les contributions du milieu de la recherche en sécurité, nous vous demandons de respecter les lignes directrices suivantes :

• Ne pas tester ou signaler les vulnérabilités sur les systèmes de production en direct sans autorisation préalable.
• Ne vous engagez pas dans des activités qui perturbent nos services, telles que des attaques par déni de service ou des analyses de masse.
• Ne divulguez pas publiquement les vulnérabilités tant que nous n’avons pas eu l’occasion d’y remédier, conformément au processus de divulgation coordonné décrit ci-dessus.

8. EXONÉRATION LÉGALE

Nous croyons que la divulgation responsable aide à protéger la sécurité et la vie privée de nos clients. Si vous suivez les directives décrites dans la présente politique et agissez de bonne foi, nous n’intenterons aucune action en justice contre vous pour vos recherches en matière de sécurité. Cependant, nous nous réservons le droit de prendre les mesures légales appropriées en cas de comportement malveillant ou illégal.

9. MERCI

Nous apprécions les efforts de la communauté de la sécurité pour nous aider à maintenir un environnement sécuritaire pour nos utilisateurs. En travaillant ensemble, nous pouvons faire d’Internet un endroit plus sûr pour tous.

10. RÉVISIONS À LA PRÉSENTE POLITIQUE

Cette politique peut être mise à jour périodiquement pour refléter les changements apportés à notre approche en matière de sécurité et de gestion des vulnérabilités. La dernière version sera toujours disponible sur cette page.

11. COMMENT NOUS CONTACTER

Si vous avez des questions ou des préoccupations au sujet de la présente politique de divulgation des vulnérabilités, veuillez communiquer avec notre agent de sécurité à [email protected]