Politique de divulgation responsable

INTRODUCTION

Soluz.io considère la sécurité de ses systèmes comme une priorité absolue. Cependant, malgré tous les efforts que nous déployons pour assurer la sécurité de nos systèmes, des vulnérabilités peuvent toujours exister.

La présente politique vise à fournir aux chercheurs en sécurité non mandatés par Soluz.io des directives claires pour mener des activités de détection des vulnérabilités et à leur communiquer nos préférences quant à la manière de nous signaler les vulnérabilités découvertes.

Cette politique décrit les systèmes et les types de recherche couverts par cette politique, la manière de nous envoyer des rapports de vulnérabilité et le délai que nous demandons aux chercheurs en sécurité d'attendre avant de divulguer publiquement les vulnérabilités.

Nous vous encourageons à nous contacter pour signaler les vulnérabilités potentielles de nos systèmes.

PORTÉE

Cette politique s'applique aux systèmes et services suivants :

*.soluz.io

Tout service non expressément mentionné ci-dessus, tel que les services connectés, est exclu du champ d'application et n'est pas autorisé à être testé. De plus, les vulnérabilités découvertes dans les systèmes de nos fournisseurs ne relèvent pas du champ d'application de cette politique et doivent être signalées directement au fournisseur conformément à sa politique de divulgation (le cas échéant). Si vous n'êtes pas sûr qu'un système relève ou non du champ d'application, contactez-nous à l'adresse security@soluz.io avant de commencer vos recherches.

AUTHORISATION

Si vous faites un effort de bonne foi pour vous conformer à cette politique pendant vos recherches en matière de sécurité, nous considérerons que vos recherches sont autorisées, nous travaillerons avec vous pour comprendre et résoudre rapidement le problème, et Soluz.io ne recommandera ni n'engagera de poursuites judiciaires liées à vos recherches. Si une action en justice est intentée contre vous par un tiers pour des activités menées conformément à cette politique, nous ferons connaître cette autorisation. Nous utilisons des cookies aux fins suivantes :

DIRECTIVES

Dans le cadre de cette politique, le terme « recherche » désigne les activités dans lesquelles vous :

Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité. N'utilisez pas d'exploit pour compromettre ou exfiltrer des données, établir un accès persistant à la ligne de commande ou utiliser l'exploit pour pivoter vers d'autres systèmes.
Accordez-nous un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
Ne soumettez pas un grand nombre de rapports de mauvaise qualité.

Une fois que vous avez établi l'existence d'une vulnérabilité ou que vous avez rencontré des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations exclusives ou des secrets commerciaux de toute partie), vous devez arrêter votre test, nous en informer immédiatement et ne divulguer ces données à personne d'autre.

MÉTHODES D'ESSAI

Les méthodes de test suivantes ne sont pas autorisées :

Tests de déni de service réseau (DoS ou DDoS) ou autres tests qui compromettent l'accès à un système ou à des données ou qui les endommagent
Tests physiques (par exemple, accès aux bureaux, portes ouvertes, talonnage), ingénierie sociale (par exemple, hameçonnage, vishing) ou tout autre test de vulnérabilité non technique

SIGNALER UNE VULNÉRABILITÉ

Nous acceptons les rapports de vulnérabilité via security@soluz.io.

Nous ne prenons pas en charge les e-mails cryptés PGP. Pour les informations particulièrement sensibles, contactez-nous via security@soluz.io afin de discuter des étapes à suivre pour échanger ces informations.

Nous traiterons votre rapport dans la plus stricte confidentialité et ne transmettrons pas vos données personnelles à des tiers sans votre autorisation.

Ce que nous attendons de vous

Afin de nous aider à trier et à hiérarchiser les soumissions, nous vous recommandons que vos rapports :

Décrivent l'emplacement où la vulnérabilité a été découverte et l'impact potentiel de son exploitation.
Fournissent une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (des scripts de preuve de concept ou des captures d'écran sont utiles).
Soyez rédigés en anglais, si possible.

Ce que vous pouvez attendre de nous

Nous nous engageons à coordonner avec vous de manière aussi ouverte et rapide que possible.

Dans un délai de 3 jours ouvrables, nous accuserons réception de votre rapport.
Dans la mesure du possible, nous vous confirmerons l'existence de la vulnérabilité et nous serons aussi transparents que possible sur les mesures que nous prenons pendant le processus de correction, y compris sur les problèmes ou les défis susceptibles de retarder la résolution.
Nous maintiendrons un dialogue ouvert pour discuter des problèmes.
Une fois les vulnérabilités respectives résolues, la personne qui les aura signalées recevra une mention honorable sur notre site web.

CONFORMITÉ AUX POLITIQUES

Mesure

Le responsable de cette politique vérifiera la conformité à celle-ci à l'aide de diverses méthodes, notamment, mais sans s'y limiter, des rapports, des audits internes et externes.

Exceptions

Toute exception à cette politique doit être demandée au responsable de la sécurité et approuvée par la direction.

Non-conformité

Tout employé qui enfreint cette politique s'expose à des mesures disciplinaires pouvant aller jusqu'au licenciement.

Amélioration continue

Cette politique est mise à jour et révisée dans le cadre de notre processus d'amélioration continue.

Politiques connexes

Politique relative aux tests de pénétration