Politique de divulgation responsable

aanhangwagenkopen.be considère qu'il est important que ses informations et systèmes soient sécurisés. Malgré notre préoccupation pour la sécurité de ces systèmes, il peut arriver qu'il y ait encore une vulnérabilité.

Si vous découvrez une vulnérabilité dans l'un de nos systèmes, veuillez nous en informer afin que nous puissions prendre des mesures pour y remédier le plus rapidement possible. Nous vous demandons de nous aider à mieux protéger nos clients et nos systèmes.

aanhangwagenkopen.be a donc opté pour une politique de divulgation coordonnée des vulnérabilités (également connue sous le nom de "Politique de divulgation responsable") afin que vous puissiez nous informer lorsque vous découvrez une vulnérabilité.

Cette politique de divulgation responsable s'applique à tous les systèmes de aanhangwagenkopen.be. En cas de doute, veuillez nous contacter pour clarifier les choses.

Ce que nous vous demandons

Si vous trouvez une faille dans l'un de nos systèmes, nous vous demandons de.. :

  1. Signalez la vulnérabilité dès que possible après l'avoir découverte. Utilisez le formulaire suivant pour signaler vos découvertes.
  2. Fournir suffisamment d'informations pour reproduire la vulnérabilité afin que nous puissions résoudre le problème le plus rapidement possible. En général, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent, mais pour des vulnérabilités plus complexes, il peut être nécessaire d'en fournir davantage.
  3. Laissez vos coordonnées, afin que nous puissions vous contacter pour travailler ensemble à un résultat sûr. Laissez au moins votre nom et votre adresse électronique. Il est possible de faire un rapport sous un pseudonyme, mais assurez-vous que nous pouvons vous contacter au cas où nous aurions des questions supplémentaires.
  4. Confirmer que vous avez agi et continuerez à agir conformément à la présente politique de divulgation responsable.

Règles à respecter

Ne divulguez pas la vulnérabilité tant que nous n'avons pas été en mesure de la corriger. Voir ci-dessous pour une éventuelle publication.

  1. N'exploitez pas la vulnérabilité en copiant, supprimant, adaptant ou visualisant inutilement des données. Ou, par exemple, en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité.
  2. Ne pas appliquer les mesures suivantes :
    • Placer des logiciels malveillants (virus, vers, cheval de Troie, etc.).
      Copier, modifier ou supprimer des données dans un système.
      Apporter des modifications au système.
      Accéder de manière répétée au système ou partager l'accès avec d'autres personnes.
    • Utilisation d'outils d'analyse automatisés.
    • L'utilisation de ce que l'on appelle la "force brute" pour accéder aux systèmes.
    • Utilisation du déni de service ou de l'ingénierie sociale (phishing, vishing, spam,...).
    • N'utilisez pas d'attaques de sécurité physique, d'ingénierie sociale, de déni de service distribué, de spam ou d'applications tierces.
    • Effacer immédiatement toutes les données obtenues par la vulnérabilité dès qu'elle est signalée à aanhangwagenkopen.be.
    • N'effectuez pas d'actions qui pourraient avoir un impact sur le bon fonctionnement du système, à la fois en termes de disponibilité et de performance, mais aussi en termes de confidentialité et d'intégrité des données.
      Les actes dans le cadre de cette politique de divulgation responsable doivent être limités à la réalisation de tests pour identifier les vulnérabilités potentielles, et au partage de cette information avec aanhangwagenkopen.be.

Si, après la suppression de la vulnérabilité, vous souhaitez publier des informations à ce sujet, nous vous demandons de nous en informer au moins un mois avant la publication et de nous donner la possibilité d'y répondre. Notre identification dans une publication n'est possible qu'après notre accord explicite.

Ce que nous promettons

  1. Si vous avez respecté les conditions susmentionnées de la politique de divulgation responsable et que vous n'avez commis aucune autre infraction, nous n'engagerons aucune action en justice à votre encontre.
  2. Nous répondrons à votre rapport dans un bref délai, si possible dans les 5 jours ouvrables, en indiquant notre examen du rapport et la date prévue pour la résolution du problème.
  3. Nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, à moins que cela ne soit nécessaire pour se conformer à une obligation légale.
  4. En guise de remerciement, nous offrons une récompense pour chaque signalement d'un problème de sécurité dont nous n'avions pas encore connaissance, en fonction de la gravité de la vulnérabilité signalée.
  5. Nous vous tiendrons informé de l'avancement de la résolution du problème.
  6. Nous nous efforçons de résoudre tous les problèmes dans les plus brefs délais.
  7. Nous pouvons choisir d'ignorer les rapports de faible qualité.

Si vous avez des questions, nous vous invitons à nous contacter.

En cas de doute sur l'applicabilité de la présente politique, veuillez d'abord nous contacter pour demander une autorisation explicite.

Nous nous réservons le droit de modifier le contenu de la présente politique à tout moment ou d'y mettre fin.

Ce texte est un travail dérivé de "Responsible Disclosure" par Floor Terra, utilisé sous une licence Creative Commons Attribution 3.0, que l'on peut trouver à l'adresse https://responsibledisclosure.nl/en/.