Politique de divulgation des vulnérabilités
Nous encourageons les recherches responsables en matière de sécurité. Cette politique explique comment signaler les problèmes et ce que vous pouvez attendre de notre part en retour.
01 Portée
- DANS LE CHAMP D'APPLICATION exosys.ch et tous ses sous-domaines tels que accounts.exosys.ch
- DANS LE CHAMP D'APPLICATION enforcegate.com et tous ses sous-domaines
- DANS LE CHAMP D'APPLICATION Applications, logiciels et API publiques développés par Exosys
- HORS DU CHAMP D'APPLICATION Services et infrastructures tiers
- HORS DU CHAMP D'APPLICATION Ingénierie sociale ou hameçonnage du personnel d'Exosys
- HORS DU CHAMP D'APPLICATION Attaques par déni de service (DoS)
- HORS DU CHAMP D'APPLICATION Sécurité physique
02 Comment signaler
Envoyez votre rapport à
secr3p0rt@exosys.chPour les informations sensibles, chiffrez-les à l'aide de notre Clé publique PGP.
Veuillez inclure dans votre rapport:
01
Une description claire de la vulnérabilité
02
Instructions de reproduction étape par étape ou preuve d'exploitation
03
Impact potentiel et composants affectés
04
Toute solution proposée (Facultatif, mais apprécié.)
03 À quoi s'attendre
Dans un délai de 3 jours ouvrables
Accusé de réception de votre rapport
Dans un délai de 10 jours ouvrables
Évaluation et mise à jour de la situation
Sur résolution
Notification indiquant que le problème a été résolu
04 Nos engagements
Nous n'engagerons aucune poursuite judiciaire contre les chercheurs agissant de bonne foi.
Nous garantissons la confidentialité de votre rapport si vous le souhaitez.
05 Nous vous demandons de bien vouloir
Ne pas divulguer le problème publiquement. Donnez-nous un délai raisonnable pour le résoudre.
Ne copiez ni ne modifiez les données utilisateur sauf si cela est strictement nécessaire pour prouver l'exploitabilité.
Ne pas perturber intentionnellement nos services et ne pas dégrader l'expérience utilisateur.