POLITIQUE DE DIVULGATION RESPONSABLE
Introduction
Transatel s’emploie à préserver la disponibilité, l’intégrité, la confidentialité et la traçabilité des informations qui lui sont confiée.
Toutefois dans l’éventualité où une faille de sécurité, une vulnérabilité ou une fuite de donnée liée à Transatel serait présente, cette page décrit notre politique de divulgation responsable sur le traitement des rapports sur les vulnérabilités pour nous signaler les anomalies.
Tous les rapports sont bienvenus, que vous soyez spécialiste de la sécurité, développeur, client ou particulier, sous réserve de respecter les conditions suivantes :
Toutefois dans l’éventualité où une faille de sécurité, une vulnérabilité ou une fuite de donnée liée à Transatel serait présente, cette page décrit notre politique de divulgation responsable sur le traitement des rapports sur les vulnérabilités pour nous signaler les anomalies.
Tous les rapports sont bienvenus, que vous soyez spécialiste de la sécurité, développeur, client ou particulier, sous réserve de respecter les conditions suivantes :
Conditions
- Garder confidentielles les informations sur les vulnérabilités découvertes.
- Ne pas utiliser d’outils automatisés ou d’attaques tels que : l’ingénierie sociale (phishing, fraude…), les dénis de service (DoS, D-DoS), le pourriel (spam, scam) ou encore la sécurité physique.
- Ne pas tirer avantage des vulnérabilités plus que nécessaire, par exemple en téléchargeant plus de données que requis ou portant atteinte à l’intégrité des données d’autres personnes.
- Nous transmettre un moyen pour vous répondre si vous désirez être informé des suites.
- Envoyer les résultats par e-mail à security-disclosure[at]transatel.com (Cette adresse est destinée uniquement au signalement des vulnérabilités. Les autres sollicitations ne seront pas traitées.)
- Ou dans le cadre de l’article 47 de la Loi pour une République au CERT-FR comme autorité compétente : cert-fr[at]ssi.gouv.fr
- Ne pas enfreindre une loi ou une réglementation quelconque au-delà de ce qu’encadre cette politique.
- Accepter sans réserve notre politique de confidentialité, permettant le traitement de votre rapport.
Dans votre rapport
- Anonymiser les données à caractère personnel.
- Partager toutes les informations essentielles pour reproduire ou constater la faille de sécurité (IP, URL, description de la vulnérabilité, référence OWASP, CVE ou ATT&CK), capture d’écran, liste des produits et services affectés)
- Le cas échéant, spécifier les références de tous les comptes de test que vous avez créés.
Traitement et confidentialité
Après réception votre rapport sera qualifié par l’équipe sécurité dans les plus brefs délais.
Nous vous assurons de traiter votre rapport en toute confidentialité sous réserve des exigences réglementaires et légales.
La participation au signalement ne confère aucun droit de propriété intellectuelle.
Si des vulnérabilités sont découvertes et signalées en conformément à notre Politique de divulgation responsable, nous n’engagerons aucune action en justice contre les rapporteurs, en cas de non-respect, nous nous réservons tous nos droits légaux.
Enfin, à date nous n’offrons pas ou ne participons pas à un programme de Bug Bounty.
Nous vous assurons de traiter votre rapport en toute confidentialité sous réserve des exigences réglementaires et légales.
La participation au signalement ne confère aucun droit de propriété intellectuelle.
Si des vulnérabilités sont découvertes et signalées en conformément à notre Politique de divulgation responsable, nous n’engagerons aucune action en justice contre les rapporteurs, en cas de non-respect, nous nous réservons tous nos droits légaux.
Enfin, à date nous n’offrons pas ou ne participons pas à un programme de Bug Bounty.