Politique de divulgation des vulnérabilités de Helmet Consulting

Introduction Helmet Consulting accueille les retours des chercheurs en sécurité et du grand public pour aider à améliorer notre sécurité. Si vous pensez avoir découvert une vulnérabilité, un problème de confidentialité, des données exposées, ou d’autres problèmes de sécurité dans l’un de nos actifs, nous voulons en être informés. Cette politique décrit les étapes pour signaler les vulnérabilités, ce que nous attendons, et ce que vous pouvez attendre de nous.

Systèmes concernés Cette politique s’applique à tous les actifs numériques possédés, exploités ou maintenus par Helmet Consulting.

Hors de portée Les actifs ou autres équipements non possédés par des parties participant à cette politique. Les vulnérabilités découvertes ou suspectées dans des systèmes hors de portée doivent être signalées au vendeur approprié ou à l’autorité compétente.

Nos engagements Lorsque vous travaillez avec nous, conformément à cette politique, vous pouvez vous attendre à ce que nous :

1. Répondions rapidement à votre rapport, et travaillions avec vous pour comprendre et valider votre rapport ;
2. Efforcions de vous tenir informé de l’avancement de la vulnérabilité pendant son traitement ;
3. Travaillions à remédier aux vulnérabilités découvertes dans un délai raisonnable, compte tenu de nos contraintes opérationnelles ; et
4. Étendions le Safe Harbor pour vos recherches en vulnérabilité liées à cette politique.

Nos attentes En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons de :

1. Respecter les règles, y compris cette politique et tout autre accord pertinent. En cas d’incohérence entre cette politique et tout autre terme applicable, les termes de cette politique prévaudront ;
2. Signaler toute vulnérabilité que vous avez découverte rapidement ;
3. Éviter de violer la vie privée des autres, de perturber nos systèmes, de détruire des données et/ou de nuire à l’expérience utilisateur ;
4. Utiliser uniquement les canaux officiels pour discuter des informations sur les vulnérabilités avec nous ;
5. Nous donner un délai raisonnable (au moins 90 jours à partir du rapport initial) pour résoudre le problème avant de le divulguer publiquement ;
6. Effectuer des tests uniquement sur les systèmes concernés et respecter les systèmes et activités qui sont hors de portée ;
7. Si une vulnérabilité donne un accès non prévu aux données : Limitez la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement un concept de preuve ; et cessez les tests et soumettez un rapport immédiatement si vous rencontrez des données utilisateur pendant les tests, telles que des informations d’identification personnelle (IIP), des informations de santé personnelles (ISP), des données de carte de crédit ou des informations propriétaires ;
8. Vous ne devez interagir qu’avec des comptes de test que vous possédez ou avec l’autorisation explicite du titulaire du compte ; et
9. Ne vous engagez pas dans l’extorsion.

Canaux officiels Veuillez signaler les problèmes de sécurité via mailto:[email protected], en fournissant toutes les informations pertinentes. Plus vous fournissez de détails, plus il sera facile pour nous de trier et de résoudre le problème.

Safe Harbor Lorsque vous effectuez des recherches en vulnérabilité, conformément à cette politique, nous considérons que ces recherches effectuées sous cette politique sont :

1. Autorisées en ce qui concerne toute loi anti-hacking applicable, et nous n’initierons ni ne soutiendrons d’action en justice contre vous pour des violations accidentelles, de bonne foi, de cette politique ;
2. Autorisées en ce qui concerne toute loi anti-contournement applicable, et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
3. Exemptées des restrictions de nos Conditions de Service (TOS) et/ou Politique d’Utilisation Acceptable (AUP) qui interféreraient avec la conduite de recherches en sécurité, et nous renonçons à ces restrictions sur une base limitée ; et
4. Légales, utiles à la sécurité globale de l’Internet et conduites de bonne foi. Vous êtes censé, comme toujours, vous conformer à toutes les lois applicables. Si une action en justice est engagée par un tiers contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées en conformité avec cette politique.

Si à tout moment vous avez des préoccupations ou n’êtes pas certain que vos recherches en sécurité sont conformes à cette politique, veuillez soumettre un rapport via l’un de nos canaux officiels avant de poursuivre.

Notez que le Safe Harbor s’applique uniquement aux revendications légales sous le contrôle de l’organisation participant à cette politique, et que la politique ne lie pas les tiers indépendants.