Responsible disclosure

Chez POM, nous prenons au sérieux la sécurité de nos systèmes. En dépit de nos efforts en vue de renforcer la sécurité de nos systèmes, il se peut qu’il y ait une vulnérabilité. Nous avons donc opté pour une politique de divulgation coordonnée des vulnérabilités (également connue sous le nom de « Responsible Disclosure Policy »). Si vous avez détecté une vulnérabilité dans l’un de nos systèmes, nous souhaiterions en être informés afin de pouvoir prendre des mesures dans les plus brefs délais. Nous voudrions collaborer avec vous en vue de protéger plus efficacement nos clients, nos utilisateurs et nos systèmes.

Ce que nous vous demandons :

  • Envoyez vos constatations par e-mail à infosec@pom.be et cryptez-les avec notre clé PGP pour éviter que les informations ne tombent entre de mauvaises mains ;
  • N’abusez pas du problème en téléchargeant plus de données que nécessaire pour détecter la fuite ou pour contrôler, supprimer ou modifier les données de tiers ;
  • Ne partagez pas le problème avec d’autres tant qu’il n’a pas été résolu et effacez toutes les données confidentielles obtenues par le biais de la fuite dès que le problème a été résolu ;
  • N’utilisez pas d’attaques sur notre sécurité physique, l’ingénierie sociale, des attaques par déni de service distribuées, des spams ou des applications tierces ;
  • Fournissez suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre aussi rapidement que possible. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter des informations plus détaillées.

Ce que nous promettons :

  • Dans les 3 jours, nous répondrons à votre notification avec notre analyse de votre constatation et une date prévue pour y remédier ;
  • Si vous avez respecté les conditions ci-dessus, nous n’engagerons pas de procédure concernant la notification ;
  • Nous traitons votre rapport de manière confidentielle et nous ne partagerons pas vos informations personnelles avec des tiers sans votre accord, sauf si une obligation légale le requiert. Il est possible d’établir votre rapport sous un pseudonyme ;
  • Nous vous tiendrons informé(e) de l’avancée dans la résolution du problème ;
  • Dans nos comptes rendus concernant le problème signalé, nous mentionnerons votre nom en tant que « découvreur », si vous le souhaitez.

Nous tentons de résoudre tous les problèmes aussi rapidement que possible et nous sommes heureux de participer à toute publication concernant le problème après sa résolution. On trouve qu'il est important de communiquer sur ce sujet de manière transparente. Si vous avez des questions, nous vous encourageons à les adresser à infosec@pom.be. En cas de doute sur l'applicabilité de cette politique, veuillez d'abord nous contacter par cette adresse e-mail pour demander une autorisation explicite. Nous nous réservons le droit de modifier le contenu de cette politique à tout moment ou de résilier la politique.

Ce texte est dérivé de « Responsible Disclosure » de Floor Terra, utilisé sous une Licence Creative Commons Attribution 3.0.