Responsible disclosure

Chez CCV Group, nous prenons au sérieux la sécurité de nos systèmes. En dépit de nos efforts en vue de renforcer la sécurité de nos systèmes, il se peut qu’il y ait une vulnérabilité.

Si vous avez détecté une vulnérabilité dans l’un de nos systèmes, nous souhaiterions en être informés afin de pouvoir prendre des mesures dans les plus brefs délais. Nous voudrions collaborer avec vous en vue de protéger plus efficacement nos clients et nos systèmes.

Ce que nous vous demandons :

  • Envoyez vos constatations par e-mail à security@ccv.eu. Cryptez vos constatations avec notre clé PGP pour empêcher les
  • N’abusez pas du problème en téléchargeant plus de données que nécessaire pour détecter la fuite ou pour contrôler, supprimer ou modifier les données de tiers ;
  • Ne partagez pas le problème avec d’autres tant qu’il n’a pas été résolu et effacez toutes les données confidentielles obtenues par le biais de la fuite dès que le problème a été résolu ;
  • N’utilisez pas d’attaques sur notre sécurité physique, l’ingénierie sociale, des attaques par déni de service distribuées, des spams ou des applications tierces, et
  • Fournissez suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre aussi rapidement que possible. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter des informations plus détaillées.

Ce que nous promettons :

  • Dans les 3 jours, nous répondrons à votre notification avec notre analyse de votre constatation et une date prévue pour y remédier ;
  • Si vous avez respecté les conditions ci-dessus, nous n’engagerons pas de procédure concernant la notification ;
  • Nous traitons votre rapport de manière confidentielle et nous ne partagerons pas vos informations personnelles avec des tiers sans votre accord, sauf si une obligation légale le requiert. Il est possible d’établir votre rapport sous un pseudonyme ;
  • Nous vous tiendrons informé(e) de l’avancée dans la résolution du problème ;
  • Dans nos comptes rendus concernant le problème signalé, nous mentionnerons votre nom en tant que « découvreur », si vous le souhaitez ; et
  • Pour vous remercier de votre aide, nous offrons une récompense pour toute notification d’un problème de sécurité inconnu. Nous déterminons le montant de la récompense sur la base de la gravité de la fuite et de la qualité de la notification avec un chèque d’au moins 50 €.

Nous tentons de résoudre tous les problèmes aussi rapidement que possible et nous sommes heureux de participer à toute publication concernant le problème après sa résolution