Politique de Divulgation Responsable
Dernière mise à jour : 21 juin 2023
Notre programme
Chez Silverfin, nous attachons une grande importance à la sécurité de nos informations, de nos systèmes et de nos services. Nous estimons également que les chercheurs en sécurité jouent un rôle essentiel dans l’atténuation des risques liés à la cybersécurité.
Si vous pensez avoir identifié une cybermenace ou un problème de sécurité susceptible d’affecter la confidentialité, l’intégrité ou la disponibilité des informations, systèmes ou services de Silverfin (« vulnérabilité »), nous vous invitons à signaler le problème à notre équipe en suivant l’une des méthodes ci-dessous.
Afin de préserver les intérêts de nos clients, nous traitons toutes les informations relatives à une vulnérabilité de manière confidentielle et nous vous prions de ne pas divulguer, commenter ou confirmer publiquement les détails d’un éventuel problème de sécurité.
QU'EST-CE QUI N'EST PAS AUTORISÉ ?
- Accéder ou tenter d’accéder à des comptes ou à des informations auxquels vous n’êtes pas autorisé ;
- Toute tentative de modification ou de destruction des informations ;
- Envoyer ou tenter d’envoyer des courriers électroniques ou d’autres types de messages non sollicités ou non autorisés ;
- Mener des opérations d’ingénierie sociale (y compris l’hameçonnage) auprès d’employés, de sous-traitants, de clients ou de toute autre partie liée à Silverfin ;
- Publier, transmettre, télécharger, insérer un lien vers, envoyer ou stocker des logiciels malveillants susceptibles de compromettre nos services, nos produits ou nos clients ;
- Exfiltrer, divulguer ou utiliser toute information ou donnée propriétaire ou confidentielle de Silverfin (y compris les données des clients), quelles que soient les circonstances ;
- Clickjacking (détournement de clics) ;
- Chiffres et certificats SSL faibles ou non sécurisés ;
- Toute tentative de déni de service (DoS) ;
- Toute activité ou tentative d’accès non autorisé aux logiciels ou systèmes de Silverfin en violation de la loi.
SIGNALER UN PROBLÈME DE SÉCURITÉ
- Produit ou service concerné, y compris l’URL concerné(s) ;
- Votre nom et vos coordonnées (si vous ne souhaitez pas fournir vos informations personnelles, vous pouvez nous contacter de manière anonyme ou en utilisant un pseudonyme) ;
- Date, heure et fuseau horaire auxquels la vulnérabilité présumée a été constatée ;
- Adresse IP utilisée au moment de la constatation de la vulnérabilité présumée ;
- Étapes pour reproduire la vulnérabilité.
PROCHAINES ÉTAPES
Après avoir soumis votre déclaration, vous recevrez une confirmation de sa réception dans un délai de 5 jours ouvrables.
Nous utiliserons les informations de divulgation fournies pour améliorer la sécurité de nos systèmes. Nous pouvons également utiliser ces informations dans le cadre de notifications aux organismes de réglementation, afin de nous conformer à la législation et d’aider le gouvernement ou les autorités chargées de l’application de la loi.
CONFIDENTIALITÉ
RÉCOMPENSES
Silverfin ne verse aucune compensation aux personnes ou aux organisations ayant identifié des vulnérabilités de sécurité potentielles ou confirmées dans le cadre du programme de divulgation responsable.
Toutefois, nous sommes reconnaissants pour tout signalement et serions heureux de vous recommander sur LinkedIn ou même de vous inviter à participer à notre programme privé de chasse aux bogues « bug bounty » avec Intigriti afin de monétiser toute recherche future.