Divulgation de vulnérabilité

Politique de divulgation de vulnérabilité

Préambule

En tant que société de sécurité, la sécurité de vos données et de notre plateforme est une priorité.

Nous aimons faire preuve de transparence concernant nos politiques et nos pratiques de sécurité. Vous pouvez retrouver les informations sur notre page Politique de Sécurité.

Nous apportons une attention toute particulière à l’ensemble des bonnes pratiques et mesures de sécurité nécessaires.

Cette page a pour objectif de préciser notre politique en matière de divulgation de vulnérabilités.

Définition

Déclarant : personne externe à l’organisation v6Protect souhaitant déclarer une vulnérabilité.

Périmètre

Le périmètre concerne tous les éléments de l’application v6Protect (site internet, interface web, API, etc.) ainsi que les services présents sur les domaines :
• v6Protect.fr
• v6protect.io

Divulgation de vulnérabilité

v6Protect prend l’engagement de ne pas poursuivre les parties qui soumettent des rapports de vulnérabilité dès lors que le(s) déclarant(s) :
• Obtiennent une autorisation écrite de la part de la direction de v6Protect ;
• Effectuent des recherches de sécurité sans nuire à v6Protect ou à ses clients, ses employés ou prestataires ;
• N’utilisent, ne divulguent, et ne modifient aucune des données obtenues dans le cadre de ces recherches ;
• Ne réalisent pas d’action portant atteinte au bon fonctionnement des services ;
• N’effectuent pas d’attaque par déni de service.

Les vulnérabilités décelées doivent faire l’objet d’un rapport détaillé :
• Rédigé en français ;
• Présenter une véritable preuve de vulnérabilité ainsi que le mécanisme pour exploiter la faille ;
• Aucune donnée personnelle ne doit apparaître dans le rapport.

Le(s) déclarant(s) s’engagent à ne pas divulguer publiquement la faille.

Le rapport doit être envoyé à l’adresse security@v6protect.fr prévu à cet effet, encrypté à l’aide de la clé PGP que v6Protect vous communiquera en amont.
‍

v6Protect s’engage à effectuer un retour au(x) déclarant(s) dans les meilleurs délais.

À lire aussi

Politique
de sécurité

Politique
de confidentialité