Segurança — Comunicar uma vulnerabilidade

Política de divulgação responsável de vulnerabilidades

A segurança do JORYX e dos dados dos nossos clientes é uma prioridade. Se pensa ter descoberto uma falha de segurança, agradecemos que no-la comunique de forma responsável e confidencial, para que a possamos corrigir antes de qualquer divulgação pública.

Como comunicar

Escreva para contact@joryx.fr (ver também /.well-known/security.txt). Por favor inclua :

  • uma descrição clara da vulnerabilidade e do seu impacto ;
  • os passos para a reproduzir (URL, pedidos, capturas) ;
  • os seus contactos para a troca.

Âmbito

Estão abrangidos os serviços JORYX (site, aplicação, API). Estão fora do âmbito : os ataques de negação de serviço (DoS/DDoS), a engenharia social, o spam, os testes físicos, e qualquer teste suscetível de degradar o serviço ou de aceder a dados reais de terceiros.

Os nossos compromissos

  • um aviso de receção em alguns dias úteis ;
  • uma avaliação e um tratamento diligentes, com correção em tempo útil ;
  • uma divulgação coordenada: acordamos em conjunto o momento de uma eventual publicação, após correção ;
  • mantemo-lo informado do progresso.

Compromisso de boa-fé (safe harbor)

Se conduzir a sua investigação de boa-fé, no respeito desta política (sem prejuízo da disponibilidade, sem acesso nem exfiltração de dados de terceiros, sem divulgação prematura), comprometemo-nos a não intentar qualquer ação contra si e a tratar a sua comunicação de forma colaborativa.

Editor

O JORYX é editado pela C4J, Creuzier-le-Neuf (Allier). Ver também as nossas menções legais e o nosso compromisso RGPD.