Politique de Divulgation des Vulnérabilités de Sécurité 

1. Introduction

Chez Bomdiu, nous prenons la sécurité au sérieux et apprécions les contributions des chercheurs en sécurité et de la communauté de sécurité au sens large pour nous aider à maintenir la sécurité et l’intégrité de nos systèmes. Cette Politique de Divulgation des Vulnérabilités décrit les lignes directrices pour nous signaler les vulnérabilités de sécurité.

2. Champ d’Application

Cette politique s’applique à toute vulnérabilité de sécurité détectée dans les services accessibles au public de Bomdiu, y compris notre site Web, nos API et tout autre système détenu et exploité par Bomdiu.

Hors Champ d’Application

Les éléments suivants sont considérés comme hors du champ d’application de cette politique :

  • Vulnérabilités dans des services ou applications tiers qui ne sont pas sous le contrôle direct de Bomdiu.
  • Attaques d’ingénierie sociale, y compris le phishing de nos employés ou sous-traitants.
  • Sécurité physique de nos bureaux ou centres de données.
  • Rapports provenant de scanners automatisés sans preuve de concept démontrant une vulnérabilité spécifique.
  • Attaques volumétriques par déni de service.

3. Lignes Directrices de Divulgation Responsable

Nous demandons aux chercheurs en sécurité de respecter les lignes directrices suivantes lorsqu’ils signalent des vulnérabilités :

  • Agissez de bonne foi et évitez de violer les lois ou de porter atteinte aux données.
  • N’effectuez pas d’attaques qui pourraient perturber nos services, y compris le déni de service (DoS), le spam ou l’ingénierie sociale.
  • N’accédez pas, ne modifiez pas et ne supprimez pas de données qui ne vous appartiennent pas.
  • Fournissez un rapport clair et détaillé avec les étapes pour reproduire la vulnérabilité, y compris toute preuve de concept pertinente.
  • Signalez les vulnérabilités rapidement et laissez-nous un délai raisonnable pour enquêter et corriger le problème avant la divulgation publique.

4. Processus de Signalement

Si vous avez découvert une vulnérabilité de sécurité, veuillez nous la signaler via security@bomdiu.com avec les détails suivants :

  • Une description de la vulnérabilité.
  • Étapes pour reproduire le problème.
  • Impact potentiel de la vulnérabilité.
  • Tout document justificatif (par exemple, captures d’écran, journaux, code de preuve de concept).

Nous visons à accuser réception de votre rapport dans les 2 jours ouvrables et à fournir une évaluation initiale dans les 5 jours ouvrables. Nous vous tiendrons informé de nos progrès au fur et à mesure que nous enquêtons et corrigeons le problème.

5. Notre Engagement

Une fois que vous avez soumis un rapport, nous nous engageons à ce qui suit :

  • Nous accuserons réception de votre rapport rapidement.
  • Nous travaillerons avec vous pour comprendre et valider vos conclusions.
  • Nous prendrons des mesures raisonnables pour remédier à la vulnérabilité en temps opportun.
  • Nous maintiendrons une ligne de communication ouverte avec vous tout au long du processus.

6. Reconnaissance

Bomdiu n’offre pas de récompenses financières ni de compensation pour la divulgation de vulnérabilités de sécurité. Cependant, nous apprécions profondément les contributions des chercheurs en sécurité. Nous pouvons offrir une reconnaissance publique pour les vulnérabilités importantes et divulguées de manière responsable, avec votre permission.

7. Considérations Légales

En soumettant un rapport, vous acceptez d’éviter toute activité illégale et de suivre des pratiques de divulgation éthiques. Bomdiu n’engagera pas de poursuites judiciaires contre les chercheurs qui agissent de bonne foi et respectent cette politique.

8. Conclusion

Nous apprécions les efforts des chercheurs en sécurité pour rendre les services de Bomdiu plus sûrs. Si vous avez des questions sur cette politique, veuillez nous contacter à security@bomdiu.com.

Merci de nous aider à maintenir la sécurité de nos systèmes.