Divulgation responsable

Vous avez identifié une vulnérabilité ? Faites-le nous savoir.

Chez Pon Holdings B.V. et ses filiales, nous accordons une importance capitale à la sécurité de nos systèmes et réseaux. Nous sommes convaincus que la sécurité est essentielle pour préserver la confiance que nos clients, fournisseurs et employés nous accordent. Malgré nos investissements dans la sécurité de nos systèmes, des points faibles peuvent subsister.

Par le biais de notre politique de divulgation responsable, nous demandons à toute personne qui identifie une vulnérabilité de la signaler dès que possible afin que nous puissions prendre les mesures nécessaires. Nous nous ferons un plaisir de collaborer avec vous en vue de pallier à ce point faible. Notre politique de divulgation responsable n'est pas une invitation à parcourir activement notre réseau d'affaires afin d'identifier ses points faibles, car nous le contrôlons déjà.

Nous vous demandons de :

  • Signalez toute découverte dès que possible via l'adresse rd@pon.com. Si vous souhaitez que nous cryptions votre rapport avant de l'envoyer, veuillez nous en informer dans votre e-mail et nous vous ferons parvenir les instructions ;
  • Nous fournir suffisamment d'informations que pour reproduire le point faible, afin que nous puissions le résoudre dès que possible. En général, l'adresse IP ou URL du système concerné et une description du point faible suffisent, mais les problèmes plus complexes peuvent nécessiter des informations supplémentaires ;
  • Ne pas profiter des points faibles pour télécharger, consulter, supprimer ou modifier des données ;
  • Ne pas partager les points faibles avec autrui avant qu'ils ne soient résolus. Si vous avez obtenu des données confidentielles par erreur, nous vous demandons de bien vouloir supprimer ces données immédiatement ;
  • Ne pas utiliser des attaques contre la sécurité physique ou les applications de tiers, des manipulations sociales, des dénis de service distribué (DDoS), des messages indésirables et des outils de piratage comme les scanneurs de vulnérabilité.

 

Ce que nous promettons :

  • Nous prendrons toujours votre rapport au sérieux. Nous enquêterons au sujet de toute vulnérabilité soupçonnée ;
  • Nous répondrons à votre rapport dans les 5 jours ouvrables en vous indiquant notre évaluation du rapport et la date de résolution attendue ;
  • Nous vous tiendrons informé au sujet de l'avancement de la résolution du problème ;
  • Si vous respectez les conditions indiquées ci-dessus, nous n'entamerons aucune procédure juridique à votre encontre concernant le rapport. Le bureau du procureur peut se réserver le droit de décider si une enquête supplémentaire est nécessaire ;
  • Nous traiterons votre rapport de manière confidentielle, et nous ne partagerons pas vos données personnelles avec des tiers sans votre autorisation, sauf si la loi nous l'oblige, comme dans les cas où la police et le tribunal nous demandent vos données ;
  • Si vous envoyez un rapport anonyme, nous pourrions ne pas être en mesure de vous contacter concernant les étapes suivantes et l'avancement de la résolution du problème ;
  • Nous pouvons exprimer notre reconnaissance via une valeur maximale de 50 €. Cette dernière dépendra de la gravité de la vulnérabilité et de la qualité du rapport.
  • Si vous le demandez, nous pouvons mentionner votre nom en tant que personne ayant découvert la vulnérabilité dans les communications concernant l'incident ;
  • Nous avons pour objectif d'analyser, et de résoudre si nécessaire, tout point faible aussi rapidement que possible après sa découverte. Nous informerons aussi toutes les parties au sujet du problème.

 

La présente politique de divulgation responsable est basée sur les directives de divulgation responsable publiées par le Centre national de cybersécurité, et sur le modèle de politique de divulgation responsable rédigé par Floor Terra.