Politique de divulgation responsable des vulnérabilités
Contactez-nous à security@onequince.com .
Divulgation responsable
Cette page est destinée aux chercheurs en sécurité pour signaler les vulnérabilités de sécurité à Quince de manière éthique et responsable.
Chez Quince, assurer la cybersécurité est notre principale préoccupation. Nous nous engageons fermement à protéger la confidentialité, l'intégrité et la disponibilité des données, de l'information et des systèmes d'information. Alors que nous nous efforçons d'atteindre un niveau de sécurité exceptionnel, nous reconnaissons que les vulnérabilités externes peuvent survenir de n'importe qui à tout moment. Par conséquent, nous souhaitons tirer parti de l'expertise de chercheurs en sécurité externes afin d'améliorer notre posture globale en matière de sécurité. Nous avons donc établi une politique de divulgation responsable des vulnérabilités afin de fournir des directives claires aux chercheurs en sécurité, leur permettant de signaler les vulnérabilités de manière éthique et responsable, et de participer ainsi à nos efforts pour créer un environnement sécurisé.
Lignes directrices sur la divulgation responsable :
Veuillez lire les directives ci-dessous pour comprendre la politique.
Portée :
Toute vulnérabilité ayant un impact démontré sur la confidentialité, l'intégrité et la disponibilité des données, de l'information et des systèmes d'information liés aux plateformes Quince (*.quince.com, *.onequince.com)
Hors de portée :
Toute vulnérabilité à faible impact. Par exemple - détournement de clic/redressement de l'interface utilisateur, absence de protocole SSL ou contenu mixte, script intersites autonome, vulnérabilités affectant les utilisateurs de navigateurs, de plugiciels ou de plateformes obsolètes et de bibliothèques tierces obsolètes, sans faille exploitable directe. Remarque - Cette liste n'est pas exhaustive.
Toute vulnérabilité dupliquée.
Règles d'engagement
L'utilisation de scanners automatisés à haute charge ou la réalisation de tests de déni de service (DoS) sont strictement interdites.
Veuillez ne pas effectuer de tests susceptibles d'entraîner une perte de données, une interruption ou une dégradation des services et systèmes de Quince.
Effectuez des tests exclusivement à l'aide de comptes qui vous appartiennent et qui sont destinés à des fins personnelles ou de test.
N'exécutez aucun test qui modifie des données sensibles, comme des informations personnellement identifiables, la propriété intellectuelle de Quince ou des données sensibles autres que les vôtres.
Abstenez-vous de faire du piratage psychologique ou de l'hameçonnage aux clients ou employés.
Abstenez-vous de divulguer ou de publier vos conclusions sur Internet ou par tout autre moyen.
Il n'est pas permis d'exploiter les vulnérabilités découvertes pendant les tests sans autorisation.
Lorsque vous signalez des vulnérabilités, veuillez fournir un rapport clair qui comprend une description, une preuve de concept et les étapes détaillées nécessaires pour reproduire la vulnérabilité.
Signaler une vulnérabilité de manière responsable
Si vous avez trouvé une vulnérabilité de sécurité potentielle sur notre plateforme, nous vous encourageons à nous la signaler de manière responsable et à respecter les « Directives de divulgation responsable ». Vous pouvez soumettre un rapport à security@onequince.com avec les étapes détaillées nécessaires pour reproduire la vulnérabilité.
Panthéon
Nous tenons à exprimer notre profonde gratitude envers les personnes qui nous signalent de manière responsable les vulnérabilités. Nous reconnaissons et apprécions grandement leur contribution inestimable au renforcement de la sécurité de nos produits et services afin de créer un écosystème sécurisé. En signe de reconnaissance, nous sommes fiers de présenter ces contributeurs dans notre prestigieux Panthéon et de leur remettre des certificats de reconnaissance.
Nous tenons à remercier les personnes suivantes qui nous ont divulgué de manière responsable certaines vulnérabilités : - Kader Harsith Mohamed Kani