Sécurité

Politique de divulgation responsable

Nous prenons très au sérieux la sécurité de nos systèmes. La divulgation responsable des vulnérabilités nous aide à garantir la sécurité et la confidentialité de nos utilisateurs.

Lignes directrices

Nous demandons à tous les chercheurs:

• fassent tout leur possible pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, l’interruption des systèmes de production et la destruction des données pendant les tests de sécurité;
• ffectuent des recherches uniquement dans le cadre défini ci-dessous;
• utilisent les canaux de communication identifiés pour nous communiquer des informations sur les vulnérabilités; et
• gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et hosting.de jusqu’à ce que nous ayons disposé de 90 jours pour résoudre le problème. Si le problème affecte une bibliothèque tierce, y compris un logiciel open source, nous vous demanderons de vous conformer à leur politique de divulgation.

Si vous suivez ces directives lorsque vous nous signalez un problème, nous nous engageons à :

• Ne pas poursuivre ou soutenir une action en justice liée à votre recherche;
• Travailler avec vous pour comprendre et résoudre le problème rapidement (y compris une confirmation initiale de votre rapport dans les 92 heures suivant sa soumission);
• Reconnaître votre contribution sur notre Security Researcher Hall of Fame au sein de notre bureau, si vous êtes le premier à signaler le problème et que nous apportons un changement de code ou de configuration basé sur le problème.

Champ d’application

• Site web principal (hosting.fr)
• Système partenaire (secure.hosting.fr)
• Système démo (demo.hosting.fr)
• Webmail (webmail.hosting.fr)
• Tous les services configurables via le système partenaire, y compris les serveurs DNS

Dans l’intérêt de la sécurité de nos utilisateurs, de notre personnel, de l’Internet en général et de vous-même en tant que chercheur en sécurité, les types de tests suivants sont exclus du champ d’application :

• Résultats de tests physiques tels que l’accès aux bureaux (par exemple, portes ouvertes, filature)
• Résultats dérivés principalement de l’ingénierie sociale (par exemple, hameçonnage)
• Résultats d’applications ou de systèmes non répertoriés dans la section « Champ d’application »
• Bogues et fautes d’orthographe de l’interface utilisateur et de l’interface utilisateur
• Vulnérabilités de déni de service au niveau du réseau (DoS/DDoS)

Éléments que nous ne souhaitons pas recevoir :

• Informations personnelles identifiables (PII)
• Données des détenteurs de cartes de crédit

Comment signaler une faille de sécurité ?

Si vous pensez avoir trouvé une faille de sécurité dans l’un de nos produits ou l’une de nos plateformes, veuillez nous l’envoyer par courrier électronique à l’adresse security@hosting.fr. Veuillez inclure les détails suivants dans votre rapport :

• Description de l’emplacement et de l’impact potentiel de la vulnérabilité;
• Une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts POC, les captures d’écran et les captures d’écran compressées nous sont tous utiles).