Politique de divulgation responsable

nous considérons la sécurité et la protection des données de nos clients comme une priorité absolue. À cette fin, nous adoptons un processus de développement sécurisé de nos systèmes, services et applications, mais nous ne pouvons pas éviter totalement les vulnérabilités.

La politique de divulgation responsable décrit comment nous notifier une vulnérabilité et le comportement que nous demandons à un client, un chercheur ou un expert qui devrait identifier une ou plusieurs vulnérabilités afin de nous aider à améliorer encore nos niveaux de sécurité et de fiabilité et à mieux protéger nos clients et leurs données. Wash Out se réserve le droit de mettre à jour la présente politique à tout moment. Les données personnelles seront traitées conformément à notre politique de confidentialité.

Domaine d'application

Chaque fois qu'un client, un chercheur ou un expert doit identifier une ou plusieurs vulnérabilités dans les milieux suivants :

  • Applications mobiles portant le logo Wash Out et publiées sur les magasins officiels : App B2C
  • Portails Telepass : Site web

Divulgation responsable

  • Envoyez vos résultats à security@telepass.com ;
  • Cryptez vos résultats à l'aide de notre clé PGP pour éviter que ces informations critiques ne tombent entre de mauvaises mains Clé PGP - Empreinte digitale : B426 E58E CE47 9503 9CBC 17F5 0669 7574 1042 4A7F ;
  • Ne tirez pas profit de la vulnérabilité ou du problème que vous avez découvert ;
  • N'effectuez aucune activité susceptible de nous léser ou de léser nos utilisateurs, de perturber le système ou le service concerné ou de provoquer une fuite ou une perte de données ;
  • Faites tout le possible pour éviter les atteintes à la vie privée, la détérioration ou la suspension des services et la destruction des données ;
  • Respectez la vie privée de nos utilisateurs et/ou clients : vous n'êtes pas autorisé à utiliser les données personnelles à des fins autres que la protection de nos utilisateurs et de leurs données, conformément à la présente politique ;
  • N'apportez pas de modifications au système ou à l'application ;
  • N'utilisez pas d'attaques par déni de service ou d'accès par force brute ;
  • N'utilisez pas d'analyse automatique agressive ;
  • N'utilisez pas l'ingénierie sociale de nos employés ou contractants ;
  • N'utilisez pas d'attaques contre la sécurité physique ;
  • Ne placez pas de porte dérobée dans un système. En plaçant une porte dérobée dans un système, ce dernier devient encore moins sûr ;
  • Fournissez des informations suffisantes pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. En général, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités complexes peuvent nécessiter des explications supplémentaires ;
  • Ne révélez pas le problème à d'autres personnes avant qu'il ne soit résolu et, en tout cas, avant de nous faire part du contenu que vous avez l'intention de divulguer ;
  • Maintenez une attitude responsable même après la diffusion du correctif, en évaluant soigneusement le type d'informations diffusées et toujours dans le but de préserver nos utilisateurs et leurs données ;

L'engagement de Wash Out

  • Nous répondrons au rapport dans les 7 jours ouvrables en indiquant notre évaluation du rapport et une date de résolution prévue ;
  • Nous ne prendrons aucune mesure juridique à l'encontre de toute personne qui découvre et signale des violations de la sécurité conformément à la présente politique de divulgation responsable ;
  • Nous traiterons votre rapport en toute confidentialité et ne transmettrons pas vos données personnelles à des tiers sans votre autorisation, sauf si cela est nécessaire pour respecter une obligation légale. Le signalement sous un pseudonyme ou anonyme est possible ;
  • Nous vous tiendrons informés de l'évolution de la résolution du problème ;
  • Dans les informations publiques concernant le problème signalé, nous indiquerons votre nom en tant que découvreur du problème (sauf si vous en décidez autrement) ;
  • Pour l'instant, nous n'offrons pas de primes pour des contributions valides ;
  • Dans notre page d'information publique sur la divulgation responsable, nous indiquerons votre nom en tant que découvreur d'un problème (à moins que vous ne souhaitiez qu'il en soit autrement) afin de reconnaître votre précieuse contribution à la sécurité de nos informations et de celles de nos clients ;

Nous nous réservons le droit de gérer et d'agir contre les rapports et les découvertes qui ne respectent pas les critères indiqués dans notre politique de divulgation responsable et dans les lois applicables.