Seguridad — Notificar una vulnerabilidad

Política de divulgación responsable de vulnerabilidades

La seguridad de JORYX y de los datos de nuestros clientes es una prioridad. Si crees haber descubierto un fallo de seguridad, te agradecemos que nos lo notifiques de forma responsable y confidencial, para que podamos corregirlo antes de cualquier divulgación pública.

Cómo notificar

Escribe a contact@joryx.fr (véase también /.well-known/security.txt). Incluye, por favor:

  • una descripción clara de la vulnerabilidad y de su impacto;
  • los pasos para reproducirla (URL, peticiones, capturas);
  • tus datos de contacto para el intercambio.

Alcance

Están cubiertos los servicios de JORYX (sitio, aplicación, API). Quedan fuera del alcance: los ataques de denegación de servicio (DoS/DDoS), la ingeniería social, el spam, las pruebas físicas y toda prueba susceptible de degradar el servicio o de acceder a datos reales de terceros.

Nuestros compromisos

  • un acuse de recibo en unos pocos días laborables;
  • una evaluación y un tratamiento diligentes, con corrección a su debido tiempo;
  • una divulgación coordinada: acordamos juntos el momento de una eventual publicación, tras la corrección;
  • te mantenemos informado del avance.

Compromiso de buena fe (safe harbor)

Si llevas a cabo tu investigación de buena fe, respetando esta política (sin afectar a la disponibilidad, sin acceder ni exfiltrar datos de terceros, sin divulgación prematura), nos comprometemos a no emprender acciones legales en tu contra y a tratar tu notificación de manera colaborativa.

Editor

JORYX está editado por C4J, Creuzier-le-Neuf (Allier). Véanse también nuestro aviso legal y nuestro compromiso RGPD.