Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Politique de divulgation des vulnérabilités

Nous prenons la sécurité au sérieux et apprécions la contribution des personnes soucieuses de la sécurité qui contribuent à protéger notre communauté. Si vous pensez avoir découvert un problème de sécurité au sein de notre plateforme, nous vous encourageons à le signaler rapidement. Nous nous engageons à examiner chaque soumission et travaillerons en étroite collaboration avec vous pour valider et corriger les vulnérabilités confirmées. Nous vous demandons de bien vouloir garder ces informations confidentielles jusqu'à ce que le problème soit résolu, afin de protéger notre communauté.

Portée de la politique

Cette politique s'applique à tous les sites web et services que nous gérons. Si vous n'êtes pas certain de la portée de la vulnérabilité que vous avez découverte, veuillez respecter les directives ci-après.

Mener des recherches sur les vulnérabilités

Vous êtes invité à effectuer des tests de sécurité responsables sur nos services pour lesquels vous avez un accès autorisé. Cependant, votre recherche ne doit pas :

  1. Violer les lois.
  2. Modifier ou supprimer des données qui ne vous appartiennent pas.
  3. Accéder ou tenter d'accéder à des données non autorisées.
  4. Exécuter des attaques par déni de service.
  5. Effectuer des tests de charge.

Des exceptions pourront être envisagées après le rapport initial, à la discrétion de notre équipe de sécurité.

Directives de signalement

Pour signaler un problème, veuillez envoyer vos découvertes par e-mail à security@ideanote.io avec les détails suivants :

  • Cible : Spécifiez où se trouve la vulnérabilité (ex. : site web principal, service cloud, etc.)
  • Type : Classez la vulnérabilité (ex. : DoS, contournement d'authentification, etc.)
  • Description : Fournissez une explication détaillée incluant les étapes pour reproduire le problème et toutes les hypothèses formulées.
  • URL / Emplacement : (Facultatif) L'URL exacte où la vulnérabilité a été trouvée.
  • Coordonnées : (Facultatif) Canaux alternatifs pour vous contacter.

Veuillez noter que nous ne supportons pas actuellement le chiffrement GPG. Attendez-vous à un accusé de réception dans les 48 heures, et à un suivi détaillé dans les trois jours ouvrables.

Divulgations valides

Veuillez vous abstenir de soumettre des rapports concernant :

  • Fichiers ou répertoires publics connus.
  • Politiques de verrouillage lors d'attaques par déni de service.
  • Suggestions concernant les configurations DNS et de messagerie.
  • Phishing ou ingénierie sociale.
  • Intégrations iFrame, X-Frame Options, Click-Jacking
  • Indicateurs de sécurité sur les cookies non sensibles.

Calendrier de divulgation

Pour les divulgations valides, notre équipe de sécurité s'engage à :

  1. Accuser réception de votre soumission.
  2. Tenter de vérifier et d'évaluer l'impact du rapport.
  3. Confirmer ou rejeter le problème, y compris la justification.
  4. Auditer le code pertinent pour des vulnérabilités similaires.
  5. Préparer les correctifs.
  6. Publier un avis de sécurité une fois les mesures d'atténuation prêtes.

Compensation

Bien que nous n'offrions pas de récompenses monétaires pour le signalement de vulnérabilités pour le moment, nous pourrions envisager de vous dédommager pour certains coûts de recherche après confirmation de votre rapport, sous réserve d'une approbation écrite préalable.

Nous attendons avec intérêt votre coopération et vous remercions de nous aider à maintenir un environnement sécurisé pour tous.