Politique de divulgation des vulnérabilités

Socialinsider - un produit de Code Path SRL

Socialinsider s'engage à assurer la sécurité de ses utilisateurs en protégeant leurs informations. Cette politique fournit aux chercheurs en sécurité des directives pour mener des recherches de vulnérabilités et indique comment signaler les failles.

Cette politique décrit les systèmes et types de recherches concernés, comment nous envoyer des rapports de vulnérabilité et le délai demandé aux chercheurs en sécurité avant de divulguer publiquement les failles. Contacte-nous pour signaler toute vulnérabilité potentielle dans nos systèmes.

Si tu respectes cette politique de bonne foi lors de tes recherches en sécurité, nous considérerons tes recherches comme autorisées. Nous collaborerons avec toi pour comprendre et résoudre rapidement le problème. Socialinsider ne recommandera pas d'action juridique liée à ta recherche. Si une tierce partie engage des poursuites pour des activités faites selon cette politique, nous confirmerons cette autorisation.

Consignes

Dans le cadre de cette politique, « recherche » désigne les activités dans lesquelles tu agis en tant que chercheur en sécurité :

  • Préviens-nous dès que possible après avoir découvert un problème de sécurité.
  • Fais tout pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, les interruptions des systèmes de production, la destruction ou la manipulation de données.
  • N’utilise des exploits que pour confirmer la présence d’une vulnérabilité. N’utilise pas d’exploit pour compromettre ou exfiltrer des données, établir un accès persistant en ligne de commande, ou accéder à d’autres systèmes via cet exploit.
  • Laisse-nous un délai raisonnable pour corriger le problème avant toute divulgation publique.
  • Ne soumets pas un grand nombre de rapports non pertinents.

Pour nous aider à comprendre les rapports, nous recommandons que ta soumission :

  • Décrive l'endroit où la vulnérabilité a été découverte et l'impact potentiel de son exploitation.
  • Fournisse une description détaillée des étapes pour reproduire la vulnérabilité — des captures d’écran ou des enregistrements vidéo sont utiles.
  • Soit rédigée en anglais

Dès que tu identifies une vulnérabilité ou rencontres des données sensibles (informations personnelles, données financières ou informations/propriétés confidentielles de toute partie), tu dois arrêter ton test, nous prévenir immédiatement et ne partager ces données avec personne.

Pratiques interdites

Les méthodes de test suivantes ne sont pas autorisées :

  • Tests de déni de service (DoS ou DDoS) ou tout test qui limite l’accès aux systèmes
  • Tests de vulnérabilité non techniques

Cette politique s’applique aux systèmes et services suivants :

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Tout service non expressément listé ci-dessus, comme les services connectés, est exclu du périmètre et n'est pas autorisé pour les tests.
De plus, les failles découvertes dans les systèmes de nos fournisseurs sont hors du champ de cette politique et doivent être signalées directement au fournisseur selon sa politique de divulgation (si elle existe).
Si tu n'es pas sûr qu’un système fasse partie du périmètre, contacte-nous à security@socialinsider.io avant de commencer ta recherche.

Si tu penses qu’un système non inclus dans le périmètre mérite d’être testé, contacte-nous pour en discuter d’abord. Le périmètre de cette politique peut évoluer avec le temps.

Signaler une vulnérabilité

Les informations soumises dans le cadre de cette politique servent uniquement à des fins défensives : atténuer ou corriger des vulnérabilités.

Si tes découvertes concernent des vulnérabilités inédites qui touchent tous les utilisateurs d’un produit ou service, et pas uniquement Socialinsider, ton rapport pourra être partagé avec des tiers. Ils le traiteront selon leur propre procédure de divulgation coordonnée de vulnérabilités.

Nous ne partagerons pas tes coordonnées sans autorisation expresse.
Les signalements de vulnérabilité sont acceptés via security@socialinsider.io. Tu peux envoyer ton rapport anonymement.

Si tu choisis de partager tes coordonnées, nous nous engageons à collaborer avec toi de manière ouverte et rapide.

  • En 7 jours ouvrés, tu recevras une confirmation de la réception de ton rapport.
  • Nous te confirmerons la vulnérabilité et serons aussi transparents que possible sur les étapes de correction en cours.
  • Nous garderons le contact pour échanger sur les problèmes.