Posture Légale

Axya Inc. ne s’engagera pas dans des actions en justice contre les individus qui soumettent des rapports de vulnérabilité via notre boîte de réception de signalement de vulnérabilités. Nous acceptons ouvertement les rapports pour les produits actuellement listés par Axya Inc.

Nous nous engageons à ne pas poursuivre en justice les individus qui :

• S’engagent dans des tests de systèmes/recherche sans nuire à Axya Inc. ou à ses clients.

• Participent à des tests de vulnérabilité dans le cadre de notre programme de divulgation de vulnérabilité.

• Testent des produits sans affecter les clients, ou obtiennent la permission/le consentement des clients avant de réaliser des tests de vulnérabilité sur leurs dispositifs/logiciels, etc.

• Se conforment aux lois de leur localité et à celles où se trouve Axya Inc. Par exemple, enfreindre des lois qui résulteraient uniquement en une plainte par Axya Inc. (et non une accusation criminelle) pourrait être acceptable puisque Axya Inc. autorise l'activité (réingénierie ou contournement de mesures de protection) pour améliorer son système.

• S’abstiennent de divulguer les détails de la vulnérabilité au public avant l'expiration d'un délai convenu mutuellement.

Politique

Rapport/Dévoilement de Vulnérabilité

Comment Soumettre une Vulnérabilité

Pour soumettre un rapport de vulnérabilité à l'équipe de sécurité des produits d’Axya Inc., veuillez utiliser l'email suivant security@axya.co.

Préférence, Priorisation et Critères d'Acceptation

Nous utiliserons les critères suivants pour prioriser et trier les soumissions.

Ce que nous aimerions voir de votre part :

• Les rapports bien rédigés en anglais auront une plus grande probabilité de résolution.

• Les rapports qui incluent du code de preuve de concept nous équipent mieux pour le triage.

• Les rapports qui incluent uniquement des vidages sur incident ou d'autres sorties d'outils automatisés peuvent recevoir une priorité moindre.

• Les rapports qui incluent des produits qui ne figurent pas sur la liste initiale des domaines peuvent recevoir une priorité moindre.

• Veuillez inclure la manière dont vous avez trouvé le bogue, l'impact et toute mesure de remédiation potentielle.

• Veuillez inclure vos plans ou intentions de divulgation publique.

Ce à quoi vous pouvez vous attendre de la part d’Axya Inc. :

• Une réponse rapide à votre courriel (dans les 2 jours ouvrables).

• Après le triage, nous enverrons un délai prévu et nous nous engagerons à être aussi transparents que possible concernant le calendrier de remédiation ainsi que sur les problèmes ou les défis qui pourraient le prolonger.

• Un dialogue ouvert pour discuter des problèmes.

• Notification lorsque l'analyse de la vulnérabilité a complété chaque étape de notre révision.

• Crédit après que la vulnérabilité a été validée et corrigée.

Si nous sommes incapables de résoudre les problèmes de communication ou d'autres problèmes, Axya Inc. peut faire appel à un tiers neutre pour aider à déterminer la meilleure manière de gérer la vulnérabilité.

Dénonciation

Comment Soumettre un Rapport

Pour signaler anonymement une violation du programme de sécurité de l'information ou une violation des lois et réglementations connexes, veuillez envoyer un email à question@axya.co

Préférence, Priorisation et Critères d'Acceptation

Nous utiliserons les critères suivants pour prioriser et examiner les soumissions.

Ce que nous attendons de vous :

• Un rapport détaillé fait de bonne foi ou basé sur une croyance raisonnable.

◦ Bonne foi signifie le signalement véridique d'une violation liée à la société des politiques, procédures ou réglementations de sécurité de l'information, par opposition à un rapport réalisé avec un mépris imprudent ou une ignorance volontaire des faits.

◦ Croyance raisonnable fait référence à la croyance subjective dans la vérité de la divulgation ET qu'une personne raisonnable dans une situation similaire croirait objectivement basée sur les faits.

• Détails de la violation (c'est-à-dire quoi, comment, pourquoi).

• Détails de l'événement signalé, avec les faits (c'est-à-dire qui, où, quand).

• Vous n'êtes PAS responsable d’enquêter sur la violation alléguée, ni de déterminer la faute ou les mesures correctives.

Ce à quoi vous pouvez vous attendre de la part d’Axya Inc. :

• Votre rapport sera soumis à l'équipe de sécurité pour examen.

• Protection de votre identité et confidentialité.

◦ AVERTISSEMENT : Il peut être nécessaire que votre identité soit divulguée lorsqu'une enquête approfondie, la conformité à la loi ou le processus légal des membres accusés l'exige.

• Protection contre toute forme de représailles et de harcèlement, telles que la résiliation, la diminution des indemnités ou les mauvaises affectations de travail, et les menaces de dommages physiques.

◦ Si vous croyez que vous êtes victime de représailles, contactez immédiatement les RH.

◦ Toute représaille ou harcèlement contre vous entraînera des mesures disciplinaires.

◦ AVERTISSEMENT : Votre droit à la protection contre les représailles ne comprend pas l'immunité pour tout acte répréhensible personnel allégué dans le rapport et faisant l'objet d'une enquête

• Processus légal pour vous et pour les membres accusés.

• Actions correctives prises pour résoudre une violation vérifiée et un examen et une amélioration des politiques et procédures applicables si nécessaire ou approprié.

• Formation continue en sensibilisation à la sécurité de l'information et compréhension de vos droits en tant que lanceur d'alerte.