Politique de divulgation de vulnérabilité

À jour au 25 novembre 2019

Objet du document

La sécurité de nos clients et des services que nous leur apportons est un sujet prioritaire chez Sellsy. Fournisseur de services fortement liés aux données personnelles et administratives (CRM, facturation, comptabilité), la sécurité est située au cœur de chacun de nos développements.

Malgré cette attention particulière, des vulnérabilités peuvent subsister dans nos produits.

Ce document a pour but de décrire notre politique en matière de recueil de vulnérabilités, formalisant ainsi notre engagement en matière de sécurité ainsi que notre reconnaissance des efforts fournis par la communauté des experts en sécurité.

Scope

— Tout élément de l’application Sellsy (interface web, API, etc.)

— Les services présents sur les domaines :

Règles concernant la divulgation

Sellsy s’engage à ne pas poursuivre les parties qui soumettent des rapports de vulnérabilité dès lors que le(s) déclarant(s) :

  • Effectuent des recherches de sécurité sans nuire à Sellsy ou à ses clients, ses employés ou prestataires
  • N’utilisent, ne divulguent, et ne modifient aucune des données obtenues dans le cadre de ces recherches
  • Ne réalisent pas d’action portant atteinte au bon fonctionnement des services
  • N’effectuent pas d’attaque par déni de service

Les vulnérabilités décelées doivent faire l’objet d’un rapport détaillé, rédigé en anglais.

Le rapport doit présenter une véritable preuve de vulnérabilité ainsi que le déroulement des actions nécessaires pour reproduire la faille.

Aucune donnée personnelle ne doit apparaître dans le rapport.

Le(s) déclarant(s) s’engagent à ne pas divulguer publiquement la faille sans accord explicite de Sellsy.

Le rapport doit être envoyé à l’adresse [email protected], encrypté à l’aide de la clé PGP disponible ici : responsible-disclosure-pgp-key.txt

NB : l’adresse [email protected] a pour seul but de collecter les remontées de vulnérabilité. Toute autre demande doit être envoyée à l’adresse [email protected]

Retours

Sellsy s’engage à apporter une réponse aux déclarants.

Si la vulnérabilité signalée est avérée, une compensation financière pourra être attribuée aux déclarants, à discrétion de Sellsy.

De même, le déclarant pourra être crédité sur une page publique gérée par Sellsy.