Politique de divulgation des vulnérabilités

Problèmes de signalement

Nous prenons les incidents de sécurité très au sérieux. Si vous avez trouvé un exploit ou une faille de sécurité potentielle, veuillez nous en informer. Envoyez un email à [email protected] avec autant d’informations que possible. Un membre de notre équipe vous contactera dans les plus brefs délais.

Programme Selzy Bug Bounty

Nous accueillons les chercheurs en sécurité qui pratiquent la divulgation responsable et se conforment à nos politiques. Le programme Selzy bug bounty donne un coup de chapeau à ces chercheurs et les récompense pour leurs efforts. Pour être éligible à une récompense dans le cadre de notre programme de bug bounty, vous devez respecter les conditions décrites ci-dessous.

Règles de base

En plus de respecter nos Conditions d’utilisation et toutes autres conditions générales applicables, vous devez également suivre ces règles de base lorsque vous participez à notre programme de bug bounty :

• N’accédez pas (ou ne tentez pas d’accéder) au compte d’un utilisateur ou à des données non publiques.
• Ne pas affecter ou nuire aux autres utilisateurs (ou à leur accès ou à leur utilisation de nos services).
• Ne procédez à aucune attaque susceptible de nuire à la fiabilité ou à l’intégrité de nos services ou de nos données. Par exemple, les attaques DDoS/spam sont strictement interdites.
• Ne divulguez pas publiquement une vulnérabilité avant que nous l’ayons résolue.
• N’effectuez pas (ni ne tentez) d’attaques non techniques, notamment du spam, de l’ingénierie sociale, du phishing ou des attaques physiques contre nos employés, nos utilisateurs ou notre infrastructure.

Quels types de rapports ne sont pas admissibles ?

Ce qui suit est une liste non exhaustive de rapports qui ne sont pas éligibles à une récompense dans le cadre de notre programme de bug bounty :

• Problèmes liés à des logiciels ou à des protocoles hors de notre contrôle, tels que des domaines ou des applications qui ressemblent à Selzy, ou utilisent l’une de nos API, mais ne sont pas gérés par Selzy.
• Divulgation d’informations publiques ou d’informations qui, à notre avis, ne présentent pas de risque significatif.
• Divulgation des identifiants et des clés des clients destinée à faciliter la tâche des contributeurs open source.
• Divulgation des informations d’identification par d’autres parties non affiliées à Selzy.
• Des bogues, tels que XSS, qui n’affectent que les anciennes versions de navigateur/plug-in, des bogues qui nécessitent une activité ou une interaction extrêmement improbable de l’utilisateur, ou des attaques chronométrées qui prouvent, par exemple, l’existence d’un utilisateur.
• Cookies partagés entre différents domaines *.Selzy.com.
• Bugs qui nous ont déjà été signalés (c’est-à-dire premier arrivé, premier servi) ou bugs dont nous avons déjà connaissance.
• Scripts ou autres automatisations et forçages brutaux des fonctionnalités prévues (tout cela est strictement interdit).

Notez que même si nous sommes heureux de recevoir des informations sur le non-respect des meilleures pratiques, ces problèmes ne constituent pas des vulnérabilités, à moins qu’ils n’affectent la confidentialité, l’intégrité et/ou la disponibilité. De même, de telles questions ne donneront lieu à aucune récompense monétaire.

Récompenses

Nous pouvons attribuer des récompenses monétaires pour les problèmes signalés que nous décidons de résoudre, avec des récompenses plus élevées pour les problèmes de sécurité nettement créatifs ou graves. Les problèmes que nous considérons comme un risque insignifiant ou accepté ne seront pas éligibles à une récompense. Le montant de la récompense sera basé sur la gravité du problème et variera entre 25 $ et 500 $. Veuillez noter que seuls les rapports soumis à [email protected] seront éligibles à une récompense dans le cadre de notre programme de bug bounty.

Vérification des statuts des rapports ou des récompenses

Nous sommes une petite équipe de développement très occupée et nous recevons beaucoup d’emails. Veuillez ne pas nous envoyer d’emails multiples ou répétitifs posant les mêmes questions sur les rapports soumis ou sur l’état des paiements de primes potentiels. Cela n’accélérera pas le processus et peut entraîner une réponse plus lente en raison de la charge supplémentaire sur notre boîte de réception. Nous apprécions votre patience.

Sachez également que la soumission répétée de problèmes figurant sur la liste non qualifiée peut avoir pour conséquence que vous ne receviez pas de réponse.

Quelques termes juridiques

Notre programme de bug bounty n’est pas un concours ou une compétition. Il s’agit d’un programme de récompenses expérimental et discrétionnaire. Nous pouvons modifier les termes de ce programme ou mettre fin à ce programme à tout moment sans préavis. Toutes les décisions quant au montant et au type de récompenses pouvant être émises, au mode de paiement (pour les récompenses monétaires) et à la question de savoir si un problème signalé constitue ou non un risque important ou est éligible à une récompense, seront déterminées à l’entière discrétion de Selzy. dans chaque cas. Nous émettons généralement des récompenses monétaires par Paypal et exigeons votre nom complet et vos coordonnées appropriées. Vous êtes responsable de toutes les implications fiscales de toute récompense que vous recevez et devez vous conformer à toutes les lois fiscales applicables à toute récompense que nous pourrions vous attribuer. Nous ne pouvons pas attribuer de récompenses à des personnes figurant sur des listes de sanctions ou qui se trouvent dans des pays (par exemple, la Russie, Cuba, l’Iran, la Corée du Nord, le Soudan ou la Syrie) figurant sur des listes de sanctions. Vous devez vous conformer à toutes les lois, règles et réglementations locales, étatiques, nationales et internationales applicables en relation avec votre participation à ce programme. Votre participation à ce programme ne doit pas perturber ou compromettre des données qui ne vous appartiennent pas.