Divulgation responsable

Avez-vous trouvé un point faible ? Informez-nous dès que possible.

Chez Splendid Data, nous considérons la sécurité de nos systèmes, de notre réseau, de nos produits et des données de nos clients comme étant de la plus haute importance. Malgré nos efforts pour assurer la sécurité de nos systèmes, il se peut qu’il y ait encore un point faible. Si vous avez trouvé un point faible dans l’un de nos systèmes, nous serions heureux d’avoir de vos nouvelles afin que nous puissions prendre des mesures le plus rapidement possible.

Les faiblesses peuvent être découvertes de différentes manières : par exemple, par accident lors de l’utilisation d’un environnement, ou en essayant explicitement de trouver un point faible.

Notre politique de divulgation responsable n’est pas une « application ouverte » pour un balayage actif et étendu de notre réseau d’entreprise à la recherche de faiblesses. Nous surveillons nous-mêmes notre réseau. Par conséquent, il y a de bonnes chances qu’une analyse soit identifiée, que nous fassions enquête et que des coûts inutiles soient engagés.

Vous êtes toutefois invité à rechercher activement les vulnérabilités de nos produits dans un environnement hors ligne non productif et à nous faire part de vos conclusions. Notre responsabilité envers nos clients signifie que notre intention n’est pas d’encourager les tentatives de piratage sur leur infrastructure; cependant, nous aimerions avoir de vos nouvelles le plus rapidement possible si des vulnérabilités sont trouvées, afin que nous puissions les résoudre adéquatement.

Nous voulons travailler avec vous pour mieux vous protéger, vous et nos autres clients et nos systèmes.

 

Nous vous demandons de :

  • Envoyez vos résultats par courriel le plus rapidement possible à security-alert@splendiddata.com.
  • N’abusez pas la vulnérabilité, par exemple en téléchargeant, en éditant ou en supprimant des données. Nous prendrons toujours votre rapport au sérieux et enquêterons sur tout soupçon de vulnérabilité, même sans preuve.
  • Ne partagez pas le problème avec d’autres personnes jusqu’à ce qu’il soit résolu.
  • N’utilisez pas d’attaques contre la sécurité physique, d’ingénierie sociale ou d’outils de piratage, tels que les scanners de vulnérabilité.
  • Donnez des informations adéquates pour que le problème soit reproduit afin que nous puissions le résoudre le plus rapidement possible. Habituellement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, cependant plus d’informations puissent être nécessaires pour des vulnérabilités plus complexes.

Ce que nous promettons :

  • Nous répondrons à votre rapport dans un délai de trois jours ouvrables, avec notre évaluation du rapport et une date de résolution prévue.
  • Nous traiterons votre rapport de façon confidentielle et nous partagerons pas vos renseignements personnels avec des tiers sans votre permission. Une exception à cette règle est la police et l’appareil judiciaire en cas de poursuites ou si des informations sont demandées.
  • Nous vous tiendrons informés de l’état d’avancement de la solution au problème.
  • Dans la communication sur le problème signalé, nous indiquerons votre nom en tant que partie qui a découvert le problème, si vous le souhaitez.
  • Il n’est malheureusement pas possible de garantir à l’avance qu’aucune action en justice ne sera intentée contre vous. Nous espérons être en mesure de considérer chaque situation individuellement. Nous nous considérons moralement obligés de vous signaler si nous soupçonnons que la faiblesse ou les données sont utilisées à mauvais escient, ou que vous avez partagé la connaissance de la faiblesse avec d’autres personnes. Vous pouvez être assuré qu’une découverte accidentelle dans notre environnement en ligne n’entraînera pas de poursuites judiciaires.
  • En guise de remerciement pour votre aide, nous donnons une somme d’argent à un organisme de bienfaisance pour chaque signalement d’un problème de sécurité qui nous est encore inconnu. Nous déterminons le montant en fonction de la gravité de la fuite et de la qualité du rapport. L’organisme de bienfaisance est déterminé en consultation avec vous.

Nous efforçons de résoudre tous les problèmes le plus rapidement possible, de tenir toutes les parties concernées informées et nous aimerions être impliqués dans toute publication sur le problème une fois qu’il est résolu.

Avec nos remerciements à Floor Terra pour son exemple de texte en néerlandais et en anglais sur http://responsibledisclosure.nl/