Introduction

Gotedo s’engage fermement à protéger les informations de nos utilisateurs et à maintenir la sécurité de nos systèmes. Cette politique de divulgation des vulnérabilités établit des directives claires pour les chercheurs en sécurité qui souhaitent identifier et signaler des vulnérabilités potentielles. La politique explique :

  • Quels systèmes et types de recherches sont couverts par cette politique,
  • Comment partager les rapports de vulnérabilités avec nous, et
  • Combien de temps les chercheurs doivent attendre avant de divulguer publiquement les vulnérabilités.

Nous encourageons les chercheurs en sécurité à signaler les vulnérabilités de bonne foi. En travaillant ensemble, nous pouvons résoudre les problèmes rapidement, en maintenant la sécurité et la confiance de tous les utilisateurs de Gotedo. Cette politique reflète l’engagement de Gotedo envers une recherche en sécurité responsable et notre reconnaissance des contributions inestimables des chercheurs à notre posture de sécurité.

Autorisation

Si vous faites un effort de bonne foi pour suivre cette politique pendant vos tests de sécurité, nous considérerons votre recherche comme autorisée. Nous travaillerons avec vous de manière collaborative pour enquêter et résoudre le problème aussi rapidement que possible, et Gotedo ne poursuivra ni ne recommandera d’actions légales liées à vos activités de recherche dans le cadre de cette politique.

Directives

Dans le cadre de cette politique, la « recherche » désigne les activités dans lesquelles vous :

  • Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
  • Faites preuve de prudence pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production, ou la destruction ou manipulation de données.
  • Utilisez des exploits uniquement dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité. N’utilisez pas un exploit pour compromettre ou extraire des données, établir un accès à la ligne de commande ou une persistance, ou pour pivoter vers d’autres systèmes.
  • Nous accordez un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
  • Vous abstenez de compromettre intentionnellement la vie privée, la sécurité, la propriété intellectuelle ou les intérêts commerciaux/financiers des employés, utilisateurs ou tiers de Gotedo.

Si vous découvrez qu’une vulnérabilité expose des données sensibles, telles que des informations personnellement identifiables, des détails financiers ou des informations propriétaires, vous devez cesser immédiatement les tests, nous informer immédiatement et vous abstenir de divulguer les données exposées à quiconque.

Portée

Tous les systèmes et services sous le domaine gotedo.com et ses sous-domaines (**.gotedo.com) sont inclus dans le cadre, sauf indication contraire. De plus, tout site web faisant référence à cette politique est également inclus. Si vous n’êtes pas sûr qu’un système ou un point d’accès soit dans le cadre, veuillez contacter [email protected] ou consulter le contact de sécurité WHOIS du domaine avant de commencer votre recherche.

Bien que nous maintenions des services supplémentaires hors du cadre de cette politique, nous vous demandons de limiter les tests actifs aux systèmes mentionnés ici. Si vous pensez qu’un système hors de ce cadre mérite d’être testé, veuillez nous contacter d’abord pour en discuter. Nous avons l’intention d’élargir le cadre de cette politique avec le temps.

Règles d’engagement

Les chercheurs en sécurité NE DOIVENT PAS :

  • Tester un système non listé dans la section Portée.
  • Divulguer les détails des vulnérabilités en dehors de ce qui est autorisé dans les sections Signalement d'une vulnérabilité et Divulgation.
  • Effectuer des tests de sécurité physique des installations de Gotedo.
  • Effectuer de l’ingénierie sociale sur les employés, contractants ou clients de Gotedo.
  • Envoyer des courriels non sollicités ou des messages de phishing aux utilisateurs de Gotedo.
  • Effectuer des attaques de Déni de Service ou d’Épuisement des Ressources.
  • Télécharger ou distribuer des logiciels malveillants.
  • Effectuer des tests qui dégradent, perturbent ou désactivent de manière significative les services de Gotedo.
  • Tenter de tester ou de compromettre des applications, sites web ou services tiers intégrés à Gotedo.
  • Supprimer, modifier, partager, conserver ou détruire des données de Gotedo, ou rendre les données de Gotedo inaccessibles.
  • Utiliser un exploit pour extraire des données, établir un accès à la ligne de commande, maintenir une persistance ou pivoter vers d’autres systèmes de Gotedo.

Les chercheurs en sécurité PEUVENT :

  • Consulter ou stocker temporairement des données non publiques de Gotedo uniquement si cela est nécessaire pour démontrer la présence d’une vulnérabilité potentielle.

Les chercheurs en sécurité DOIVENT :

  • Arrêter les tests et nous informer immédiatement si une vulnérabilité est découverte.
  • Arrêter les tests et nous informer immédiatement si des données non publiques ont été exposées.
  • Supprimer toutes les données non publiques de Gotedo stockées lors du signalement d’une vulnérabilité.

Signalement d’une vulnérabilité

Veuillez soumettre les rapports de vulnérabilités à [email protected]. Pour le moment, nous acceptons les rapports en anglais et ne prenons pas en charge le chiffrement PGP. Vous pouvez soumettre des rapports anonymement si vous le souhaitez.

Nous utiliserons toute information que vous fournissez uniquement à des fins défensives, à savoir pour enquêter et remédier aux vulnérabilités. Si vos découvertes révèlent des failles nouvellement découvertes qui affectent non seulement Gotedo mais aussi d’autres services ou produits en général, nous pourrions partager votre rapport avec la Base de Données Nationale des Vulnérabilités (NVD). Nous n’inclurons pas votre nom ni vos coordonnées sans votre consentement exprès.

En soumettant un rapport de vulnérabilité, vous reconnaissez avoir lu, compris et accepté les principes de cette politique, et vous consentez à ce que Gotedo stocke votre communication et toute correspondance de suivi sur un système de Gotedo.

Pour nous aider à trier et répondre efficacement, veuillez inclure :

  • Une référence aux termes et conditions légales à Conditions de Service de Gotedo.
  • Une description claire de la vulnérabilité, où elle a été trouvée et son impact potentiel sur la sécurité.
  • Des étapes détaillées ou une preuve de concept illustrant comment reproduire le problème (les scripts ou captures d’écran pertinents sont encouragés).

Divulgation

Gotedo vise à traiter rapidement les vulnérabilités signalées. Nous comprenons également que divulguer une vulnérabilité prématurément, sans une solution testée, peut augmenter le risque. Par conséquent, nous exigeons que les chercheurs attendent 90 jours calendaires après avoir reçu notre accusé de réception initial avant de partager publiquement les détails de toute vulnérabilité découverte. Si vous pensez que la communauté au sens large doit être alertée avant que nous ayons mis en œuvre une solution corrective, veuillez coordonner avec nous au préalable.

Nous pouvons partager des informations sur les vulnérabilités avec la Base de Données Nationale des Vulnérabilités ou d’autres fournisseurs concernés, mais nous ne partagerons jamais vos informations personnelles sans votre approbation explicite.

Questions

Si vous avez des questions ou des suggestions concernant cette politique, veuillez nous contacter à [email protected]. Nous accueillons et apprécions vos commentaires.

Autres politiques