Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Politique de divulgation des vulnérabilités

Nous prenons la sécurité au sérieux et apprécions la contribution des personnes soucieuses de la sécurité qui nous aident à protéger notre communauté. Si vous pensez avoir découvert un problème de sécurité au sein de notre plateforme, nous vous prions de le signaler rapidement. Nous nous engageons à examiner chaque soumission et travaillerons en étroite collaboration avec vous pour valider et corriger les vulnérabilités confirmées. Nous vous demandons de bien vouloir garder ces informations confidentielles jusqu'à ce que le problème soit résolu, afin de protéger notre communauté.

Portée de la politique

Cette politique s'applique à tous les sites web et services que nous gérons. Si vous n'êtes pas certain de la portée de la vulnérabilité que vous avez trouvée, veuillez adhérer aux directives présentes.

Réalisation de la recherche de vulnérabilités

Vous êtes autorisé à effectuer des tests de sécurité responsables sur nos services pour lesquels vous avez un accès autorisé. Cependant, votre recherche ne doit pas :

  1. Violer aucune loi.
  2. Modifier ou supprimer des données qui ne vous appartiennent pas.
  3. Accéder ou tenter d'accéder à des données non autorisées.
  4. Exécuter des attaques par déni de service.
  5. Effectuer des tests de charge.

Des exceptions pourront être envisagées après le signalement initial, à la discrétion de notre équipe de sécurité.

Directives de signalement

Pour signaler un problème, veuillez envoyer vos découvertes par e-mail à security@ideanote.io avec les détails suivants :

  • Cible : Spécifiez où la vulnérabilité existe (par exemple, site web principal, service cloud, etc.)
  • Type : Classez la vulnérabilité (par exemple, DoS, contournement d'authentification, etc.)
  • Description : Fournissez une explication détaillée incluant les étapes pour reproduire et toutes les hypothèses faites.
  • URL / Emplacement : (Facultatif) L'URL exacte où la vulnérabilité a été trouvée.
  • Informations de contact : (Facultatif) Canaux alternatifs pour vous joindre.

Veuillez noter que nous ne prenons pas actuellement en charge le chiffrement GPG. Attendez-vous à un accusé de réception dans les 48 heures, et à un suivi détaillé dans les trois jours ouvrables.

Divulgations valides

Veuillez vous abstenir de soumettre des rapports liés à :

  • Fichiers ou répertoires publics connus.
  • Politiques de verrouillage lors des attaques par déni de service.
  • Suggestions concernant les configurations DNS et de messagerie.
  • Hameçonnage ou ingénierie sociale.
  • Intégrations iFrame, options X-Frame, Click-Jacking
  • Drapeaux de sécurité sur les cookies non sensibles.

Chronologie de divulgation

Pour les divulgations valides, notre équipe de sécurité :

  1. Accusera réception de votre soumission.
  2. Tentera de vérifier et d'évaluer l'impact du rapport.
  3. Confirmera ou rejettera le problème, en incluant la justification.
  4. Vérifiera le code pertinent pour des vulnérabilités similaires.
  5. Préparera les correctifs.
  6. Publiera un avis de sécurité une fois les mesures d'atténuation prêtes.

Compensation

Bien que nous n'offrions pas de récompenses monétaires pour le signalement de vulnérabilités à l'heure actuelle, nous pouvons envisager de vous indemniser pour certains coûts de recherche après avoir confirmé votre rapport, sous réserve d'une approbation écrite préalable.

Nous apprécions votre coopération et vous remercions de nous aider à maintenir un environnement sécurisé pour tous.