Politique de divulgation de vulnérabilité
Objet de ce document
La sécurité de nos clients et des services que nous leur offrons est une priorité absolue chez Djaboo. En tant que fournisseur de services étroitement liés aux données personnelles et administratives (CRM, facturation, comptabilité), la sécurité est au cœur de tous nos développements.
Malgré notre vigilance constante, des vulnérabilités peuvent subsister dans nos produits.
Ce document vise à décrire notre politique de signalement des vulnérabilités, démontrant ainsi notre engagement en matière de sécurité et notre reconnaissance envers la communauté des experts en sécurité pour leurs efforts.
Périmètre
- Tous les éléments de l’application Djaboo (interface web, API, etc.)
- Les services présents sur les domaines suivants :
www.djaboo.com
www.djaboo.app
api.djaboo.com
Règles concernant la divulgation
Djaboo s’engage à ne pas poursuivre les parties qui signalent des vulnérabilités, à condition que les signataires :
- Effectuent des recherches en sécurité sans nuire à Djaboo, à ses clients, à ses employés ou à ses prestataires
- N’utilisent pas, ne divulguent pas et ne modifient pas les données obtenues lors de ces recherches
- N’entravent pas le bon fonctionnement des services
- N’effectuent pas d’attaque par déni de service
Les vulnérabilités découvertes doivent être signalées dans un rapport détaillé rédigé en anglais.
Le rapport doit fournir une preuve réelle de la vulnérabilité ainsi que les étapes nécessaires pour reproduire la faille.
Aucune donnée personnelle ne doit figurer dans le rapport.
Les signataires s’engagent à ne pas divulguer publiquement la faille sans l’accord explicite de Djaboo.
Le rapport doit être envoyé à l’adresse app@djaboo.com.
Remarque : l’adresse app@djaboo.com est uniquement destinée à la collecte des signalements de vulnérabilités. Toute autre demande doit être adressée à hello@djaboo.com.
Réponses
Djaboo s’engage à répondre aux signataires.
Si la vulnérabilité signalée est confirmée, une compensation financière pourra être accordée aux signataires, à la discrétion de Djaboo.
De plus, le signataire pourra être mentionné sur une page publique gérée par Djaboo.