Politique de divulgation responsable

Chez DFDS, nous prenons la sécurité très au sérieux. Le présent document présente les procédures de sécurité et les politiques générales s'agissant de la divulgation des vulnérabilités de sécurité. Si vous envisagez de nous (l'« Organisation ») signaler une vulnérabilité, nous vous conseillons de lire intégralement la présente politique de divulgation des vulnérabilités avant de le faire.

Bien que nous apprécions que vous preniez le temps et que vous fassiez l'effort de signaler des vulnérabilités de sécurité conformément à la présente politique, veuillez noter que nous ne récompensons pas financièrement le signalement de vulnérabilités.

Si vous pensez avoir trouvé une vulnérabilité de sécurité, veuillez nous soumettre un rapport à l'adresse e-mail suivante : security@dfds.

Veillez à inclure les éléments suivants dans votre rapport :

• Le site web, l'inventaire git, l'adresse IP ou la page où vous avez constaté la vulnérabilité.

• Une brève description du type de vulnérabilité (par exemple, « vulnérabilité XSS »).

• Étapes pour renouveler le signalement.

Vérifiez que vos tests soient bénins, non destructeurs ou qu'ils servent de preuve de concept.

Ces informations permettent de garantir un tri rapide et précis des rapports.

Une fois le rapport soumis, nous vous répondrons sous 5 jours ouvrables, puis trierons votre rapport sous 15 jours ouvrables. Nous vous tiendrons au courant de notre avancement. La priorité de correction est évaluée en fonction des conséquences, de la gravité et de la complexité de l'exploit. Nous nous ferons un plaisir de répondre à vos questions quant à l'avancement, mais tâchez de n'en poser qu'une fois toutes les deux semaines pour que nos équipes puissent se focaliser sur les corrections.

Nous vous informerons quand la correction de la vulnérabilité signalée aura été effectuée. Il est possible que nous vous invitions à confirmer que la solution fournie réponde correctement à la vulnérabilité. Une fois votre vulnérabilité résolue, nous sommes ouverts aux demandes de divulgation de votre rapport. Notre but est de regrouper les conseils pour les utilisateurs touchés. Veillez donc à toujours vous rapprocher de nous pour coordonner toute communication publique.

Vous NE devez PAS :

• Violer toute loi ou réglementation en vigueur.

• Accéder à des quantités de données inutiles, excessives ou importantes.

• Modifier des données dans les systèmes ou services de l'Organisation.

• Utiliser des outils d'analyse invasifs ou destructeurs pour trouver des vulnérabilités.

• Essayer d'effectuer ou signaler toute forme de déni de service, c'est-à-dire inonder un service d'un nombre élevé de demandes.

• Perturber les services ou systèmes de l'Organisation.