Politique de divulgation des vulnérabilités de Pleo Technologies A/S
Introduction
Pleo Technologies A/S apprécie les retours des spécialistes de la sécurité et du grand public pour l'aider à améliorer sa sécurité. Si vous pensez avoir découvert une vulnérabilité, un problème de confidentialité, des données exposées ou d'autres problèmes de sécurité au sein de l'un de nos actifs, merci de nous en faire part. Cette politique décrit les étapes pour nous signaler les vulnérabilités, ce que nous attendons de vous et ce que vous pouvez attendre de nous.
Systèmes concernés
Cette politique s'applique à tous les actifs numériques détenus, exploités ou maintenus par Pleo Technologies A/S. Un délai de divulgation raisonnable s'applique aux applications suivantes :
- openapi.pleo.io
L'API de comptabilité de Pleo est une API REST ; - auth.pleo.io
Le service d'authentification de Pleo ; - app.pleo.io
Pleo propose des cartes d'entreprise nouvelle génération qui automatisent les rapports de dépenses et simplifient les dépenses professionnelles ; - api.pleo.io
L'API Pleo est une API générique pour la plupart des micro-services de Pleo ; - *.pleo.io
Les sous-domaines génériques de Pleo.
Actifs non concernés
Les biens ou autres équipements ne sont pas détenus par les parties participant à cette politique.*
*Les vulnérabilités découvertes ou suspectées dans les systèmes hors champ doivent être signalées au fournisseur approprié ou à l'autorité compétente.
Nos engagements
Lors de votre collaboration avec nous, conformément à cette politique, vous pouvez vous attendre à ce que nous effectuions les actions suivantes :
- Répondre rapidement à votre signalement et collaborer avec vous pour comprendre et valider votre rapport ;
- Nous efforcer de vous tenir au courant de l'avancée de la vulnérabilité au fur et à mesure qu'elle est traitée ;
- Travailler à remédier aux vulnérabilités découvertes en temps opportun, dans le cadre de nos contraintes opérationnelles ; et
- Vous proposer une sphère de sécurité pour vos recherches de vulnérabilités en lien avec cette politique.
Nos attentes
En participant de bonne foi à notre programme de divulgation de vulnérabilités, nous vous demandons de :
- Respecter les règles, y compris en suivant cette politique et tous les autres accords pertinents. En cas d'incohérence entre cette politique et d'autres termes applicables, les termes de cette politique prévaudront ;
- Signaler rapidement toute vulnérabilité que vous avez découverte ;
- Éviter de violer la vie privée d'autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l'expérience utilisateur ;
- Utiliser uniquement les canaux officiels pour discuter avec nous des informations relatives à la vulnérabilité ;
- Nous accorder un délai raisonnable pour résoudre le problème (au moins 90 jours à partir du signalement initial) avant de le divulguer publiquement ;
- Effectuer des tests uniquement sur les systèmes concernés, et respecter les systèmes et activités non concernés ;
- Si une vulnérabilité permet de fournir un accès non intentionnel aux données : limiter la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement une preuve de concept ; cesser les tests et effectuer immédiatement un signalement si vous rencontrez des données utilisateurs au cours des tests, telles que des informations personnelles identifiables (PII), des informations de santé personnelles (PHI), des données de carte de crédit ou des informations exclusives ;
- N'interagir qu'avec des comptes de test que vous possédez ou avec la permission explicite du titulaire du compte ; et
- Ne pas vous livrer à l'extorsion.
Canaux officiels
Veuillez signaler les problèmes de sécurité via security-vd@pleo.io en fournissant toutes les informations pertinentes. Plus vous donnerez de détails, plus il sera facile pour nous de trier et de résoudre le problème.
Sphère de sécurité
Lorsque vous effectuez des recherches sur les vulnérabilités, conformément à cette politique, nous considérons que les recherches menées dans le cadre de cette politique sont :
- Autorisées en vertu des lois anti-hacking applicables, et nous n'engagerons ni ne soutiendrons d'action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique ;
- Autorisées concernant toutes les lois pertinentes sur l'anti-contournement, et nous n'engagerons pas de réclamation contre vous pour contournement des contrôles technologiques ;
- Exemptées des restrictions citées dans nos Conditions d'utilisation et/ou notre Politique d'utilisation acceptable qui pourraient interférer avec la conduite de recherches de sécurité, et nous levons ainsi ces limites sur une base limitée ; et
- Légales, utiles à la sécurité globale d'Internet et réalisées de bonne foi.
Comme toujours, il est attendu de vous que vous respectiez toutes les lois en vigueur. Si une action en justice est engagée par un tiers contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour indiquer que vos actions ont été effectuées en conformité avec cette politique.
Si à tout moment vous avez des préoccupations ou des doutes quant à la conformité de vos recherches en matière de sécurité avec cette politique, veuillez soumettre un rapport par l'un de nos canaux officiels avant de continuer.
Veuillez noter que l'application de la sphère de sécurité s'applique uniquement aux réclamations légales sous le contrôle de l'organisation participant à cette politique, et que la politique ne lie pas les tiers indépendants.