Politique de divulgation responsable

Sur eu4ua, la sécurité des données des réfugiés, des hôtes et des volontaires est notre priorité. L'objectif de cette page (la "politique de divulgation responsable") est de vous fournir toutes les informations dont vous avez besoin si vous avez découvert une vulnérabilité potentielle dans l'un de nos produits ou services.

Nous apprécions vraiment l'aide de notre communauté et nous voulons nous assurer que toute divulgation est faite de manière responsable. Veuillez vous assurer que vous respectez les conditions ci-dessous :

Vous pouvez soumettre des problèmes à security@eu4ua.org et veuillez inclure les informations suivantes :

  • URL ou adresse IP affectée
  • une description du problème, y compris une liste d'étapes permettant de le reproduire
  • la période de temps pendant laquelle vous avez pu observer le problème

Étant donné que nous sommes une association, veuillez noter que nous ne proposons pas de programme de primes aux bugs. Cela signifie que nous ne versons pas de récompenses pour les failles de sécurité divulguées.

SCOPE

Le champ d'application comprend tous les actifs derrière eu4ua.org, à l'exception de ceux liés à des tiers.

CE QUE NOUS VOUS DEMANDONS

  • Lorsque vous recherchez des faiblesses potentielles sur notre système, veillez à configurer l'en-tête suivant. Cela nous aidera à distinguer vos tests d'un acteur malveillant.
X-Bug-Hunter: <nickname>

  • N'hésitez pas à partager avec nous l'adresse IP que vous avez utilisée pour vos tests lors de l'envoi de votre rapport.
  • Si vous découvrez un problème qui révèle des données personnelles (PII), vous devez vous assurer que celles-ci sont supprimées dès que vous avez fait la divulgation.
  • Vous ne violez aucune autre loi ou réglementation applicable.

FAQs

Qu'est-ce que je ne dois pas signaler ?

  • Suggestions de configuration de Sender Policy Framework (SPF), DKIM et DMARC
  • Divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt)
  • Divulgation de bannières sur les services communs/publics
  • Attaques de phishing ou d'ingénierie sociale

Quand recevrai-je une réponse de votre part après avoir fait une déclaration ?

Notre équipe vous enverra une réponse pour vous faire savoir que nous avons reçu votre rapport, et vous contactera si nous avons besoin de plus d'informations.

Puis-je publier quelque chose sur la vulnérabilité après ma divulgation ?

Après examen et résolution du problème par notre équipe, nous vous enverrons une autorisation écrite de divulguer le problème.

Merci pour votre soutien.