Politique Divulgation Responsable
Dernière mise à jour: 19 septembre , 2023
OBJET
Permettre la déclaration et la divulgation des vulnérabilités découvertes par des entités externes, ainsi que la déclaration des violations de la politique de sécurité de l'information par des entités internes.
PORTÉE
La politique de divulgation responsable de Connect&GO couvre la plateforme principale de Connect&GO et son infrastructure de sécurité de l'information, ainsi que les employés internes et externes ou les tiers.
CONTEXTE
Connect&GO s'engage à garantir la sécurité de ses clients et de ses employés. Nous visons à favoriser un environnement de confiance et un partenariat ouvert avec la communauté de la sécurité. Nous reconnaissons l'importance des divulgations de vulnérabilités pour continuer à garantir la sécurité de tous nos clients, employés et de notre entreprise. Nous avons élaboré cette politique pour refléter nos valeurs d'entreprise et pour respecter notre responsabilité légale envers les chercheurs en sécurité de bonne foi qui nous apportent leur expertise.
ROLES ET RESPONSABILITÉS
Cadre Légale
Connect&GO ne prendra pas de mesures légales à l'encontre des individus qui soumettent des rapports de vulnérabilité via notre Boîte de Réception de Signalement de Vulnérabilité. Nous acceptons ouvertement les rapports pour les produits actuellement répertoriés de Connect&GO. Nous nous engageons à ne pas engager de poursuites judiciaires à l'encontre des individus qui:
-
Dévoilent une vulnérabilité qu'ils ont découverte de bonne foi.
-
S'engagent dans des tests de vulnérabilité dans le cadre de notre programme de divulgation de vulnérabilité tel que décrit dans cette politique.
-
Effectuent des tests sur des produits sans affecter les clients ou obtiennent la permission/consentement des clients avant d'effectuer des tests de vulnérabilité sur leurs dispositifs/logiciels, etc.
-
Respectent les lois de leur lieu de résidence et du lieu de Connect&GO.
-
S'abstiennent de divulguer des vulnérabilités au public avant l'expiration d'un délai mutuellement convenu, sous réserve de tout accord de non-divulgation (voir section suivante).
Le cadre légal précité n'autorise pas la recherche active de vulnérabilités impliquant des interactions directes avec les systèmes de Connect&GO, et n'implique pas une autorisation pour effectuer des tests d'intrusion/le développement d'exploits contre les systèmes de Connect&GO.
Toute violation du cadre légal précité sans autorisation explicite de Connect&GO peut entraîner des infractions criminelles, telles que l'utilisation non autorisée d'un ordinateur, en plus de conduire Connect&GO à intenter des poursuites civiles contre les contrevenants individuels.
POLITIQUE
Rapport/Divulgation de Vulnérabilité
Comment Soumettre un Rapport de Vulnérabilité
Pour soumettre un rapport de vulnérabilité à l'équipe de sécurité de Connect&GO, veuillez utiliser l'adresse e-mail suivante: [email protected].
Préférence, Priorisation et Critères d'Acceptation
Nous utiliserons les critères des sections suivantes pour prioriser et trier les soumissions.
Ce que nous aimerions voir de votre part:
-
Des rapports bien rédigés en anglais ou en français auront une probabilité plus élevée d'être résolus.
-
Les rapports qui incluent du code de preuve de concept nous permettent de mieux trier.
-
Les rapports qui n'incluent que des décharges de plantage ou d'autres sorties d'outils automatisés peuvent recevoir une priorité plus faible.
-
Les rapports qui incluent des produits qui ne figurent pas sur la liste initiale de la portée peuvent recevoir une priorité plus faible.
-
Veuillez inclure comment vous avez découvert le bogue, l'impact et toute mesure de remédiation potentielle.
-
Veuillez inclure tous les plans ou intentions de divulgation publique.
Ce que vous pouvez attendre de Connect&GO:
-
Une réponse rapide à votre e-mail (dans les 2 jours ouvrables).
-
Tous les rapports recevront un accusé de réception pour confirmer leur soumission.
-
Si nous ne parvenons pas à résoudre les problèmes de communication ou d'autres problèmes, Connect&GO peut faire appel à une tierce partie neutre pour aider à déterminer la meilleure façon de traiter la vulnérabilité.
-
Les enregistrements de tous les rapports de vulnérabilité, de leur résolution et de tout accord de non-divulgation signé seront conservés pendant une période spécifiée à des fins d'audit et de conformité.
Accord de Non-Divulgation
Toutes les informations relatives aux vulnérabilités dont vous prenez connaissance par le biais du programme de divulgation responsable de Connect&Go, que ce soit par l'exploration des systèmes de Connect&GO ou lors de discussions avec le personnel de Connect&GO, sont considérées comme confidentielles. Afin de laisser à Connect&Go le temps de remédier à une vulnérabilité, vous acceptez de vous abstenir de divulguer publiquement des informations confidentielles à des tiers (en dehors de Connect&GO) sans l'approbation préalable et écrite de l'équipe de sécurité de Connect&GO : [email protected].
Vous vous engagez à répondre favorablement à toute demande de l'équipe de sécurité de Connect&GO visant à retourner ou détruire promptement toutes les copies des informations confidentielles ainsi que toutes les notes relatives à ces informations confidentielles. Votre coopération à cet égard est essentielle et contribue à la résolution sécurisée des potentielles vulnérabilités.
Maintenance de la Politique et Informations de Contact
Cette politique fait l'objet de révisions régulières et de mises à jour pour assurer son alignement avec les processus organisationnels en évolution et le paysage dynamique de la sécurité. La portée des produits et services couverts par cette politique est continuellement évaluée et ajustée selon les besoins. Pour toute question ou clarification concernant cette politique, n'hésitez pas à contacter notre comité de sécurité désigné à [email protected]. Nous sommes là pour vous aider avec toutes les questions ou préoccupations que vous pourriez avoir concernant notre divulgation responsable et nos pratiques de sécurité.