Politique de divulgation responsable


Politique de divulgation responsable

Politique de divulgation responsable

Axya Inc. n'engagera pas d'action en justice contre les personnes qui soumettent des rapports de vulnérabilité par le biais de notre boîte de réception de rapports de vulnérabilité. Nous acceptons ouvertement les rapports pour les produits d'Axya Inc. actuellement répertoriés.

Nous nous engageons à ne pas intenter d'action en justice à l'encontre des personnes qui :

• Participer à des tests de systèmes/de recherche sans nuire à Axya Inc. ou à ses clients.

• Effectuer des tests de vulnérabilité dans le cadre de notre programme de divulgation des vulnérabilités.

• Tester les produits sans affecter les clients, ou obtenir l'autorisation des clients avant de procéder à des tests de vulnérabilité sur leurs appareils/logiciels, etc.

• Respecter les lois en vigueur dans leur pays et dans celui d'Axya Inc. Par exemple, la violation de lois qui n'entraîneraient qu'une réclamation de la part d'Axya Inc. (et non une réclamation criminelle) peut être acceptable, car Axya Inc. autorise l'activité (ingénierie inverse ou contournement des mesures de protection) afin d'améliorer son système.

• S'abstenir de divulguer au public les détails de la vulnérabilité avant l'expiration d'un délai convenu d'un commun accord.

Politique

Rapport de vulnérabilité/divulgation

Comment soumettre une vulnérabilité

Pour soumettre un rapport de vulnérabilité à l'équipe de sécurité des produits d'Axya Inc., veuillez utiliser l'adresse électronique suivante: security@axya.co.

Critères de préférence, de priorité et d'acceptation

Nous utiliserons les critères suivants pour classer les demandes par ordre de priorité et de triage.

Ce que nous attendons de vous :

• Les rapports bien rédigés en anglais ont une plus grande probabilité d'être résolus.

• Les rapports qui comprennent un code de preuve de concept nous permettent d'effectuer un meilleur triage.

• Les rapports qui ne comprennent que des vidages de crash ou d'autres résultats d'outils automatisés peuvent être moins prioritaires.

• Les rapports qui incluent des produits ne figurant pas sur la liste initiale du champ d'application peuvent être moins prioritaires.

• Veuillez indiquer comment vous avez découvert le bogue, son impact et toute mesure corrective potentielle.

• Veuillez inclure tout plan ou intention de divulgation publique.

Ce que vous pouvez attendre d'Axya Inc :

• Une réponse rapide à votre courriel (dans les deux jours ouvrables).

• Après le triage, nous enverrons un calendrier prévisionnel et nous nous engageons à être aussi transparents que possible sur le calendrier de remédiation ainsi que sur les problèmes ou les défis susceptibles de le prolonger.

• Un dialogue ouvert pour discuter des problèmes.

• Notification lorsque l'analyse de vulnérabilité a franchi chaque étape de notre examen.

• Crédit après que la vulnérabilité a été validée et corrigée.

Si nous ne parvenons pas à résoudre les problèmes de communication ou autres, Axya Inc. peut faire appel à une tierce partie neutre pour l'aider à déterminer la meilleure façon de gérer la vulnérabilité.

Dénonciation

Comment soumettre un rapport

Pour signaler de manière anonyme une violation du programme de sécurité de l'information ou une violation des lois et règlements connexes, veuillez envoyer un courriel à l'adresse suivante question@axya.co

Critères de préférence, de priorité et d'acceptation

Nous utiliserons les critères suivants pour établir des priorités et examiner les candidatures.

Ce que nous attendons de vous :

• Rapport détaillé fait de bonne foi ou fondé sur une croyance raisonnable.

◦ On entend par bonne foi le signalement véridique d'une violation des politiques, procédures ou réglementations en matière de sécurité de l'information liée à l'entreprise, par opposition à un signalement effectué avec une insouciance téméraire ou une ignorance délibérée des faits.

◦ La conviction raisonnable fait référence à la conviction subjective de la véracité de la divulgation ET à ce qu'une personne raisonnable dans une situation similaire croirait objectivement sur la base des faits.

• Détails de la violation (quoi, comment, pourquoi).

• Détails de l'événement rapporté, avec des faits (par exemple, qui, où, quand).

• Vous n'êtes PAS responsable de l'enquête sur la violation présumée, ni de la détermination de la faute ou des mesures correctives.

Ce que vous pouvez attendre d'Axya Inc :

• Votre rapport sera soumis à l'équipe de sécurité pour examen.

• Protection de votre identité et de votre confidentialité.

◦ MISE EN GARDE : il peut être nécessaire de divulguer votre identité dans le cadre d'une enquête approfondie, du respect de la loi ou de la garantie d'une procédure régulière pour les membres accusés.

• Protection contre toute forme de représailles et de harcèlement, comme le licenciement, la réduction de la rémunération, les mauvaises affectations de travail et les menaces d'atteinte à l'intégrité physique.

◦ Si vous pensez faire l'objet de représailles, contactez immédiatement le service des ressources humaines.

◦ Toute mesure de représailles ou de harcèlement à votre encontre entraînera des mesures disciplinaires.

◦ MISE EN GARDE : votre droit à la protection contre les représailles n'inclut pas l'immunité pour tout acte répréhensible personnel allégué dans le rapport et ayant fait l'objet d'une enquête.

• Une procédure régulière pour vous et pour le(s) membre(s) accusé(s).

•Les mesures correctives prises pour résoudre une violation vérifiée, ainsi que l'examen et l'amélioration des politiques et procédures applicables, si cela est nécessaire ou approprié.

• Formation continue de sensibilisation à la sécurité de l'information et compréhension de vos droits en tant que dénonciateur.