Lignes directrices pour une divulgation responsable
Version anglaise : https://www.clonable.fr/.well-known/responsible-disclosure.txt
À Clonable, nous accordons une grande importance à la sécurité de nos systèmes. Malgré le soin que nous apportons à la sécurité de nos systèmes, il peut arriver qu'il y ait un point faible.
Si vous avez trouvé une faiblesse dans l'un de nos systèmes, nous aimerions en être informés afin de pouvoir prendre des mesures le plus rapidement possible. Nous aimerions travailler avec vous pour mieux protéger nos clients et nos systèmes.
Nous vous demandons :
- Veuillez envoyer vos conclusions par courriel à security@clonable.net,
- Ne pas signaler les bonnes pratiques manquantes (par exemple, pas de hsts, en-têtes de sécurité manquants), sauf si elles présentent un risque réel, démontrable et significatif,
- Ne pas exploiter le problème, par exemple en téléchargeant plus de données que nécessaire pour prouver la fuite ou en accédant, supprimant ou modifiant des données de tiers.
- Ne partagez pas le problème avec d'autres personnes avant qu'il ne soit résolu et supprimez toutes les données confidentielles obtenues par la fuite immédiatement après sa résolution,
- Ne pas utiliser d'attaques de sécurité physique, d'ingénierie sociale, de déni de service distribué, de pourriels ou d'applications de tiers ; et
- Fournissez des informations suffisantes pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. Habituellement, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité sont suffisantes, mais pour les vulnérabilités plus complexes, davantage peut être requis.
Ce que nous promettons :
- Nous répondrons à votre rapport dans un délai de 5 jours ouvrables en vous indiquant notre évaluation du rapport et une date prévue pour la résolution du problème,
- Si vous avez respecté les conditions susmentionnées, nous n'engagerons aucune action en justice à votre encontre concernant le rapport,
- Nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour se conformer à une obligation légale. Il est possible de faire un rapport sous un pseudonyme,
- Nous vous tiendrons informé de l'avancement de la résolution du problème,
- En signalant le problème signalé, nous inclurons, si vous le souhaitez, votre nom en tant que découvreur ; et
- Pour vous remercier de votre aide, nous offrons une entrée dans notre "hall of fame" pour chaque rapport sur un problème de sécurité qui ne nous est pas encore connu. En fonction de l'ampleur du problème et de la qualité du rapport, votre nom peut contenir un lien de votre choix.