Segurança — Comunicar uma vulnerabilidade
Política de divulgação responsável de vulnerabilidades
A segurança do JORYX e dos dados dos nossos clientes é uma prioridade. Se pensa ter descoberto uma falha de segurança, agradecemos que no-la comunique de forma responsável e confidencial, para que a possamos corrigir antes de qualquer divulgação pública.
Como comunicar
Escreva para contact@joryx.fr (ver também /.well-known/security.txt). Por favor inclua :
- uma descrição clara da vulnerabilidade e do seu impacto ;
- os passos para a reproduzir (URL, pedidos, capturas) ;
- os seus contactos para a troca.
Âmbito
Estão abrangidos os serviços JORYX (site, aplicação, API). Estão fora do âmbito : os ataques de negação de serviço (DoS/DDoS), a engenharia social, o spam, os testes físicos, e qualquer teste suscetível de degradar o serviço ou de aceder a dados reais de terceiros.
Os nossos compromissos
- um aviso de receção em alguns dias úteis ;
- uma avaliação e um tratamento diligentes, com correção em tempo útil ;
- uma divulgação coordenada: acordamos em conjunto o momento de uma eventual publicação, após correção ;
- mantemo-lo informado do progresso.
Compromisso de boa-fé (safe harbor)
Se conduzir a sua investigação de boa-fé, no respeito desta política (sem prejuízo da disponibilidade, sem acesso nem exfiltração de dados de terceiros, sem divulgação prematura), comprometemo-nos a não intentar qualquer ação contra si e a tratar a sua comunicação de forma colaborativa.
Editor
O JORYX é editado pela C4J, Creuzier-le-Neuf (Allier). Ver também as nossas menções legais e o nosso compromisso RGPD.