Présentation
Chez Edovia, la sécurité est une priorité et nous accueillons avec intérêt les signalements responsables de vulnérabilités émanant de chercheurs en sécurité et du public. Si vous pensez avoir détecté un problème de sécurité, un problème de confidentialité ou des données exposées dans nos produits ou services, nous vous encourageons à nous en faire part. Ce document décrit la procédure de signalement des problèmes de sécurité, nos engagements et nos attentes.
Champ d'application
Cette politique s'applique à :
- Logiciels et produits Edovia
- Services et infrastructures exploités par Edovia
- Documentation relative à nos produits
Exclusions
Les types de signalements suivants ne sont pas couverts par cette politique :
- Problèmes de sécurité physique (par exemple, accès aux bureaux, entrée non autorisée)
- Attaques d'ingénierie sociale (par exemple, hameçonnage, tentatives d'usurpation d'identité)
- Problèmes survenant dans des systèmes non explicitement mentionnés dans la section Champ d'application
- Problèmes esthétiques (par exemple, bugs d'interface utilisateur/expérience utilisateur sans impact sur la sécurité)
- Erreurs typographiques
- Vulnérabilités par déni de service (DoS/DDoS)
- Services tiers non gérés par Edovia
Si vous découvrez un problème sur un système hors du champ d'application, nous vous encourageons à le signaler au fournisseur ou à l'organisation concerné.
Ce que vous pouvez attendre de nous
Lorsque vous signalez un problème de sécurité valide et de bonne foi, nous nous engageons à :
- Accuser réception de votre signalement et commencer l'évaluation dans les meilleurs délais ;
- Vous tenir informé de l'état d'avancement de votre signalement pendant son examen ;
- Travailler à la résolution des vulnérabilités de sécurité en fonction de leur gravité et de leur impact ;
- Fournir une protection Safe Harbor lorsque la divulgation respecte les directives de la présente politique.
Directives pour une divulgation responsable
Afin de garantir un processus de divulgation responsable et efficace, nous vous demandons de :
- Respecter la présente politique et toutes les conditions applicables lors de l'enquête sur les problèmes de sécurité ;
- Signaler rapidement les constatations et éviter toute action susceptible de perturber les services ou les utilisateurs ;
- Limiter les tests au strict nécessaire pour démontrer un problème ;
- Utiliser les canaux officiels pour communiquer les problèmes de sécurité ;
- Nous accorder un délai raisonnable pour traiter le problème avant sa divulgation publique ;
- Tester uniquement les systèmes concernés et éviter les cibles explicitement exclues ;
- Utiliser les comptes de test dont vous êtes propriétaire ou que vous avez l'autorisation explicite d'utiliser ;
- S'abstenir de toute action pouvant être interprétée comme de l'extorsion ou une demande de compensation.
Signaler un problème de sécurité
Pour signaler un problème de sécurité, veuillez utiliser le Canal officiel :
https://edovia.com/.well-known/security.txt
Plus vous nous fournirez de détails, plus vite nous pourrons évaluer et résoudre le problème.
Safe Harbor
Si vous menez des recherches en sécurité de bonne foi et conformément à cette politique, nous :
- Considérerons vos recherches comme autorisées par les lois anti-piratage en vigueur ;
- N'engagerons aucune action en justice pour violation involontaire de cette politique ;
- N'appliquerons pas les lois anti-contournement à vos tests ;
- Traiterons vos résultats comme une initiative visant à améliorer la sécurité, et non comme une violation de nos conditions d'utilisation.
Si un tiers engage des poursuites judiciaires contre vous pour des recherches conformes à cette politique, nous vous informerons que vos actions ont respecté les principes de divulgation responsable.
Si vous n'êtes pas certain que vos tests soient conformes à cette politique, veuillez nous contacter avant de poursuivre.
Remarque : Safe Harbor s'applique uniquement aux réclamations légales sous le contrôle de Edovia et ne s'étend pas aux tiers indépendants.
Programme de primes
Veuillez noter qu’Edovia ne participe pas à un programme de bug bounty ou de récompense. Nous apprécions les signalements responsables de vulnérabilités, mais nous n’offrons actuellement aucune compensation financière ni autre incitation.