Divulgation responsable

Chez Blanco Services, la sécurité de nos systèmes, de notre réseau et de nos produits est primordiale. Malgré le grand soin que nous apportons à la sécurité, des points faibles peuvent subsister. Si vous avez constaté une telle faiblesse, nous aimerions en être informés le plus tôt possible afin de pouvoir prendre les mesures appropriées le plus rapidement possible.

Les points faibles peuvent être découverts de deux manières : vous pouvez tomber accidentellement sur une vulnérabilité pendant l’utilisation normale d’un environnement numérique, ou vous pouvez explicitement faire de votre mieux pour en trouver.

Notre politique de divulgation responsable n’est pas une invitation à parcourir activement notre réseau d’affaires pour découvrir les points faibles. Nous surveillons nous-mêmes notre réseau d’affaires. Celà signifie qu’il y a de fortes chances qu’un scan soit détecté et qu’une enquête soit effectuée par notre équipe informatique, ce qui pourrait entraîner des coûts inutiles.

Vous pouvez cependant être invité à rechercher activement les vulnérabilités de nos produits dans un environnement dédié via notre programme Bug Bounty sur HackerOne. Si vous souhaitez être invité à notre programme privé, n’hésitez pas à envoyer une demande à security@​useblanco.​com avec votre nom d’utilisateur HackerOne. Les autres programmes de recherché active de vulnérabilités né sont autorisés qu’après accord écrit de Blanco Services.

Notre responsabilité envers nos clients signifie que notre intention n’est pas d’encourager les tentatives de piratage sur leur infrastructure ; cependant, nous aimerions avoir un retour le plus tôt possible quand des vulnérabilités sont découvertes, afin que nous puissions les résoudre adéquatement.

Nous aimerions travailler avec vous pour mieux protéger nos clients et nos systèmes.

Nous vous demandons :

  • Envoyez vos résultats par courriel le plus rapidement possible à security@​useblanco.​com.
  • N’abusez pas de la vulnérabilité, par exemple en téléchargeant, en modifiant ou en supprimant des données. Nous prendrons toujours votre rapport au sérieux et enquêterons sur toute suspicion de vulnérabilité, même sans preuve.
  • Né partagez pas le problème avec d’autres personnes avant qu’il n’ait été résolu.
  • N’utilisez pas d’attaques contre la sécurité physique, d’outils d’ingénierie sociale ou de piratage, tels que les scanners de vulnérabilité.
  • Donnez des informations adéquates pour que le problème soit reproduit afin que nous puissions le résoudre le plus rapidement possible. Habituellement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, bien que des informations supplémentaires puissent être nécessaires pour les vulnérabilités plus complexes.

Ce que nous promettons :

  • Nous répondrons à votre rapport dans les trois jours ouvrables, avec notre évaluation du rapport et une date de résolution prévue.
  • Nous traiterons votre rapport en toute confidentialité et né partagerons pas vos renseignements personnels avec des parties tierces sans votre permission. La police et la justice font exception à cette règle en cas de poursuites ou si des informations sont demandées.
  • Nous vous tiendrons au courant de l’évolution de la résolution du problème.
  • Dans la communication concernant le problème signalé, nous indiquerons votre nom en tant que partie qui a découvert le problème, si vous le souhaitez.
  • Il n’est malheureusement pas possible de garantir par avance qu’aucune action judiciaire né sera intentée contre vous. Nous espérons être en mesure d’examiner chaque situation individuellement. Nous nous considérons moralement obligés de vous signaler si nous soupçonnons un abus de la faiblesse ou des données, ou que vous avez partagé la connaissance de la faiblesse avec d’autres personnes. Vous pouvez être assuré qu’une découverte accidentelle dans notre environnement en ligne né donnera pas lieu à des poursuites judiciaires.
  • Pour vous remercier de votre aide, nous offrons une récompense pour chaque signalement d’un problème de sécurité que nous né connaissons pas. Nous déterminons la valeur de la récompense en fonction de la gravité de l’infraction et de la qualité du rapport.

Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible, de tenir toutes les parties concernées informées et nous aimerions être impliqués dans toute publication sur le problème une fois qu’il sera résolu. Avec nos remerciements à Floor Terra pour son exemple de texte en néerlandais sur http://​respon​si​bledis​clo​sure​.nl/