Sommaire
- Article 1 - Objet et engagement
- Article 2 - Périmètre
- Article 3 - Modalités de signalement
- Article 4 - Engagements du déclarant
- Article 5 - Engagements de l'Éditeur
- Article 6 - Divulgation coordonnée
- Article 7 - Confidentialité
- Article 8 - Activités exclues
- Article 9 - Récompense
Evorax Technologies accueille favorablement les signalements de vulnérabilités réalisés de bonne foi, dans l'intérêt de la protection des Utilisateurs du service Noryo (ci-après le « Service »). La présente politique précise le périmètre, les modalités de signalement et les engagements réciproques.
Article 1 - Objet et engagement
La présente politique a pour objet d'encadrer la divulgation responsable des vulnérabilités de sécurité affectant le Service et d'offrir un cadre clair aux personnes souhaitant les signaler.
Article 2 - Périmètre
2.1 Couvert
Sont concernées les vulnérabilités affectant les sites, applications et interfaces du Service exploités par l'Éditeur.
2.2 Hors périmètre
Sont notamment exclus les services et infrastructures exploités par des tiers, ainsi que les vulnérabilités déjà connues ou sans impact réel sur la sécurité.
Article 3 - Modalités de signalement
Tout signalement est adressé à legal@noryo.fr et comporte une description claire de la vulnérabilité, les étapes permettant de la reproduire, son impact potentiel et, dans la mesure du possible, une preuve de concept.
Article 4 - Engagements du déclarant
- Agir de bonne foi et s'abstenir de toute atteinte à la confidentialité, à l'intégrité ou à la disponibilité des données de tiers.
- Limiter tout accès à des données ne lui appartenant pas au strict minimum nécessaire à la démonstration de la vulnérabilité.
- S'abstenir d'exploiter la vulnérabilité au-delà de ce qui est nécessaire et de la divulguer publiquement avant correction.
- Accorder à l'Éditeur un délai raisonnable de correction.
Article 5 - Engagements de l'Éditeur
- Accuser réception du signalement et tenir le déclarant informé de son traitement.
- S'abstenir de toute action à l'encontre d'un déclarant ayant agi de bonne foi et dans le respect de la présente politique.
- Traiter les vulnérabilités avec la priorité appropriée et remédier aux failles avérées dans des délais raisonnables.
Article 6 - Divulgation coordonnée
L'Éditeur privilégie une divulgation coordonnée : la communication publique éventuelle relative à une vulnérabilité intervient après sa correction, en concertation avec le déclarant lorsque cela est possible.
Article 7 - Confidentialité
Les éléments transmis dans le cadre d'un signalement sont traités de manière confidentielle et utilisés aux seules fins de traitement de la vulnérabilité.
Article 8 - Activités exclues
Sont notamment exclus les tests entraînant une dégradation du Service, l'accès non autorisé aux données d'autres Utilisateurs, l'ingénierie sociale, les attaques par déni de service et les attaques visant les prestataires tiers.
Article 9 - Récompense
La présente politique n'institue pas de programme de récompense, sauf indication contraire expresse de l'Éditeur.