Limite de responsabilité - Responsible disclosure

Nos clients peuvent être assurés que le respect de la vie privée et la sécurité comptent parmi les priorités absolues de gamma.be. C'est pourquoi nous tentons d'optimiser la sécurité de notre site et des systèmes qui y sont liés. Malgré cela, des points faibles sont toujours possibles.

Si vous découvrez une faille dans la sécurité de l'un de nos systèmes, merci de nous en aviser afin que nous puissions prendre nos dispositions le plus rapidement possible. Nous comptons également sur votre collaboration pour optimiser la protection et la sécurité de nos systèmes.

 

Qu'attendons-nous de vous?

  • Envoyez-nous ce que vous avez découvert par e-mail (security-alert@intergamma.be) en cryptant votre message à l'aide de notre clé PGP pour éviter que les informations tombent dans de mauvaises mains;
  • Faites bon usage du système en évitant par exemple de télécharger plus de données que nécessaire pour démontrer la faille ou consulter, supprimer ou modifier les données de tiers;
  • Ne communiquez aucune information relative au problème à des tiers tant qu'il n'est pas résolu, et supprimez toutes les données confidentielles obtenues via la faille dès que celle-ci est comblée;
  • Interdisez-vous toute attaque visant la sécurité physique, l'ingénierie sociale, les dénis de service distribué, les spams ou les applications de tiers;  
  • Donnez suffisamment d'informations pour reproduire le problème afin de nous permettre de le résoudre le plus rapidement possible. La plupart du temps, l'adresse IP ou l'URL du système atteint est une description de la vulnérabilité suffisent. En cas de failles plus complexes, des informations supplémentaires peuvent s'avérer nécessaires.

 

Que promettons-nous?

  • Nous réagissons dans les 3 jours à vos messages en évaluant votre alerte et en communiquant la date prévue de la solution;
  • Pour autant que vous ayez respecté les conditions ci-dessus, nous n'entreprendrons aucune action judiciaire à votre encontre par rapport à la faille signalée.
  • Nous traiterons votre message confidentiellement et ne communiquerons pas vos données personnelles à des tiers sans avoir obtenu votre accord, sauf lorsque nous y sommes légalement contraints. Il est possible de signaler une alerte en utilisant un pseudo;
  • Nous vous tiendrons informé de l'avancement de la résolution du problème;
  • Dans les messages signalant la faille que vous avez découverte, si vous le souhaitez, nous mentionnerons votre nom comme auteur de la découverte;
  • Pour vous remercier de votre aide, nous vous proposons une récompense pour chaque notification d'une nouvelle faille de sécurité. La valeur de la récompense est déterminée par rapport à la gravité de la faille et à la qualité du message, le minimum étant un chèque-cadeau de €50,-.

 

Nous nous efforçons de résoudre le plus vite possible tous les problèmes de sécurité. Une fois le problème résolu, nous apprécions d'être impliqués dans les éventuelles publications à ce sujet. Remarque: les informations ci-dessus sont largement reprises (et librement traduites) du site responsibledisclosure.nl.