Bomdiu Logo

Politique de Divulgation de Vulnérabilités de Sécurité

1. Introduction

Chez Bomdiu, nous prenons la sécurité très au sérieux et apprécions les contributions des chercheurs en sécurité et de la communauté de la sécurité au sens large pour nous aider à maintenir la sûreté et l'intégrité de nos systèmes. Cette Politique de Divulgation de Vulnérabilités décrit les directives pour nous signaler les vulnérabilités de sécurité.

2. Portée

Cette politique s'applique à toutes les vulnérabilités de sécurité trouvées dans les services publiquement accessibles de Bomdiu, y compris notre site web, nos API et tout autre système détenu et exploité par Bomdiu.

Hors de Portée

Les éléments suivants sont considérés hors de portée de cette politique :

  • Les vulnérabilités dans les services ou applications de tiers qui ne sont pas sous le contrôle direct de Bomdiu.
  • Les attaques d'ingénierie sociale, y compris le hameçonnage de nos employés ou sous-traitants.
  • La sécurité physique de nos bureaux ou centres de données.
  • Les rapports de scanners automatiques sans preuve de concept démontrant une vulnérabilité spécifique.
  • Les attaques par déni de service volumétrique.

3. Lignes Directrices pour une Divulgation Responsable

Nous demandons aux chercheurs en sécurité de respecter les lignes directrices suivantes lors du signalement de vulnérabilités :

  • Agir de bonne foi et éviter de violer toute loi ou de compromettre des données.
  • Ne pas effectuer d'attaques qui pourraient perturber nos services, y compris le déni de service (DoS), le spam ou l'ingénierie sociale.
  • Ne pas accéder, modifier ou supprimer des données qui ne vous appartiennent pas.
  • Fournir un rapport clair et détaillé avec les étapes pour reproduire la vulnérabilité, y compris toute preuve de concept pertinente.
  • Signaler les vulnérabilités rapidement et nous accorder un délai raisonnable pour enquêter et corriger avant toute divulgation publique.

4. Processus de Signalement

Si vous avez découvert une vulnérabilité de sécurité, veuillez nous la signaler via [email protected] avec les détails suivants :

  • Une description de la vulnérabilité.
  • Les étapes pour reproduire le problème.
  • L'impact potentiel de la vulnérabilité.
  • Tout matériel de support (par exemple, captures d'écran, journaux, code de preuve de concept).

Pour les informations sensibles, nous vous encourageons à chiffrer votre rapport. Notre clé PGP peut être trouvée ici : https://keys.openpgp.org/vks/v1/by-fingerprint/17579243F23AAFD69EDEB5258BE31E6A811D063D

Nous nous efforçons d'accuser réception de votre rapport dans les 2 jours ouvrables et de fournir une évaluation initiale dans les 5 jours ouvrables. Nous vous tiendrons informé de nos progrès au fur et à mesure que nous enquêtons et corrigeons le problème.

5. Notre Engagement

Une fois que vous avez soumis un rapport, nous nous engageons à ce qui suit :

  • Nous accuserons rapidement réception de votre rapport.
  • Nous travaillerons avec vous pour comprendre et valider vos découvertes.
  • Nous prendrons des mesures raisonnables pour corriger la vulnérabilité en temps opportun.
  • Nous maintiendrons une ligne de communication ouverte avec vous tout au long du processus.

6. Reconnaissance

Bomdiu n'offre pas de récompenses financières ou de compensation pour la divulgation de vulnérabilités de sécurité. Cependant, nous apprécions profondément les contributions des chercheurs en sécurité. Nous pouvons offrir une reconnaissance publique pour les vulnérabilités importantes et divulguées de manière responsable, avec votre permission.

7. Considérations Légales

En soumettant un rapport, vous acceptez d'éviter toute activité illégale et de suivre des pratiques de divulgation éthiques. Bomdiu n'engagera pas de poursuites judiciaires contre les chercheurs qui agissent de bonne foi et se conforment à cette politique.

8. Conclusion

Nous apprécions les efforts des chercheurs en sécurité pour rendre les services de Bomdiu plus sûrs. Si vous avez des questions sur cette politique, veuillez nous contacter à [email protected].

Merci de nous aider à maintenir la sécurité de nos systèmes.