Responsive disclosure

Octopize s'engage à assurer le plus haut niveau de sécurité, notamment en ce qui concerne la confidentialité des données et le respect de la vie privée. Quels que soient les efforts que nous déployons pour assurer notre sécurité, il peut toujours y avoir des vulnérabilités.

Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre des mesures pour y remédier le plus rapidement possible. Nous aimerions vous demander de nous aider à mieux protéger nos clients et nos systèmes.
‍
Veuillez procéder comme suit :
- Envoyez vos résultats par e-mail à security@octopize.io. Cryptez vos résultats à l'aide de notre clé PGP afin d'éviter que ces informations critiques ne tombent entre de mauvaises mains,
- Ne tirez pas profit de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d'autres personnes,
- Ne révélez pas le problème à d'autres personnes avant qu'il n'ait été résolu,
- N'utilisez pas d'attaques sur la sécurité physique, d'ingénierie sociale, de déni de service distribué, de spam ou d'applications de tiers, et
‍
Veillez à fournir les informations suffisantes pour reproduire le problème :
- Adresse IP ou URL du système affecté 
- Description de la vulnérabilité
- Étapes à suivre pour reproduire le problème

Ce que nous promettons :
- Nous répondrons à votre rapport dans un délai de 3 jours ouvrables en vous communiquant notre évaluation du rapport et une date de résolution prévue,
- Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune mesure juridique à votre encontre concernant le rapport,
- Nous traiterons votre rapport en toute confidentialité et ne transmettrons pas vos données personnelles à des tiers sans votre autorisation,
- Nous vous tiendrons informé de l'avancement de la résolution du problème,
- Dans les informations publiques concernant le problème signalé, nous indiquerons votre nom en tant que découvreur du problème (sauf si vous en décidez autrement), et
- En gage de notre gratitude pour votre aide, nous offrons une récompense pour chaque signalement d'un problème de sécurité dont nous n'avions pas encore connaissance. Le montant de la récompense sera déterminé en fonction de la gravité de la fuite et de la qualité du rapport. La récompense minimale sera un chèque-cadeau de 50 €.

Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible, et nous souhaitons jouer un rôle actif dans la publication finale sur le problème après sa résolution.