Connexion
Inscription gratuite

Réserver une démo

Politique de découverte des vulnérabilités

Introduction

OnePlan Limited s'engage à assurer la sécurité du public en protégeant ses informations contre toute divulgation injustifiée. Le but de cette politique est de fournir aux chercheurs en sécurité des directives claires pour mener des activités de découverte de vulnérabilités et de faire part de nos préférences sur la manière de nous soumettre les vulnérabilités découvertes.

Cette politique décrit les systèmes et les types de recherche couverts par cette politique, comment envoyer nous signale des vulnérabilités, et combien de temps nous demandons aux chercheurs en sécurité d'attendre avant de divulguer publiquement les vulnérabilités.

Nous voulons que les chercheurs en sécurité se sentent à l'aise pour signaler les vulnérabilités qu'ils ont découvertes – comme indiqué dans cette politique – afin que nous puissions les corriger et assurer la sécurité de nos utilisateurs. Nous avons développé cette politique pour refléter nos valeurs et maintenir notre sens des responsabilités envers les chercheurs en sécurité qui partagent leur expertise avec nous de bonne foi.

AUTORISATION

Si vous faites un effort de bonne foi pour vous conformer à cette politique lors de vos recherches de sécurité, nous considérerons votre recherche comme autorisée, nous travaillerons avec vous pour comprendre et résoudre le problème rapidement, et OnePlan Limited ne recommandera ni ne poursuivra aucune action en justice liée à votre recherche.

Glignes directrices

Aux fins de cette politique, le terme « recherche » désigne les activités dans lesquelles vous :

  • Informez-nous dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
  • Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
  • Utilisez les exploits uniquement dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité. N'utilisez pas d'exploit pour compromettre ou exfiltrer des données, établir un accès et/ou une persistance en ligne de commande, ou utiliser l'exploit pour « pivoter » vers d'autres systèmes.
  • Vous nous accordez un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
  • Vous ne compromettrez pas intentionnellement la confidentialité ou la sécurité de OnePlan Personnel limité ou tout tiers.
  • Vous ne compromettrez pas intentionnellement la propriété intellectuelle ou d'autres intérêts commerciaux ou financiers de tout OnePlan Personnel ou entités limités, ou tout tiers.

Une fois que vous avez établi l'existence d'une vulnérabilité ou que vous avez rencontré des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations exclusives ou des secrets commerciaux de toute partie), vous devez arrêter vos tests, nous en informer immédiatement et ne divulguer ces données à personne.

Sfaire face

Tsa politique s'applique aux systèmes et services suivants :

oneplanévénements.com

venuetwin.com

Systèmes et services directement associés à domaines et sous-domaines énumérés ci-dessus sont dans le champ d'application. De plus, tout site Web publié avec un lien vers cette politique est pris en compte. Les sites Web non explicitement répertoriés ici ou publiés avec un lien vers cette politique sont considérés comme hors du champ d'application de cette politique. Les vulnérabilités découvertes dans les systèmes de nos fournisseurs sortent du champ d'application de cette politique et doivent être signalées directement au fournisseur conformément à sa politique de divulgation (le cas échéant). Si vous n'êtes pas sûr qu'un système ou un point de terminaison soit concerné ou non, contactez [email protected] avant de commencer votre recherche ou auprès du contact de sécurité du nom de domaine du système répertorié dans le WHOIS .com.

Bien que nous développions et maintenions d'autres systèmes ou services accessibles via Internet, nous demandons que des recherches et des tests actifs soient effectués uniquement sur les systèmes et services couverts par le champ d'application de ce document. Si vous pensez qu'un système non couvert par ce document mérite d'être testé, veuillez nous contacter pour en discuter à l'avance. Nous augmenterons la portée de cette politique au fil du temps.

La [email protected] L'adresse e-mail est UNIQUEMENT destinée au signalement des failles de sécurité d'un produit ou d'un service. Il n'est pas utilisé pour obtenir des informations d'assistance technique pour nos produits ou services. Tout contenu autre que celui propre aux failles de sécurité de nos produits ou services ne sera pas traité.

Rrègles d'engagement

Sles chercheurs en sécurité ne doivent pas :

  • Testez tout système autre que les systèmes présentés dans la section « Portée » ci-dessus,
  • divulguer des informations sur la vulnérabilité, sauf dans les cas indiqués dans les sections « Signaler une vulnérabilité » et « Divulgation » ci-dessous,
  • procéder à des tests physiques d’installations ou de ressources,
  • s'engager dans l'ingénierie sociale,
  • envoyer des e-mails non sollicités aux utilisateurs de OnePlan Limité, y compris les messages de « phishing »,
  • réaliser ou tenter de réaliser des attaques de type « déni de service » ou « épuisement des ressources »,
  • introduire des logiciels malveillants,
  • effectuer des tests d'une manière susceptible de dégrader le fonctionnement de OnePlan Systèmes limités ; ou intentionnellement modifier, perturber ou désactiver OnePlan Systèmes limités,
  • tester des applications, des sites Web ou des services tiers qui s'intègrent ou sont liés vers ou depuis OnePlan Systèmes limités,
  • supprimer, modifier, partager, conserver ou détruire OnePlan Données limitées ou rendu OnePlan Données limitées inaccessibles, ou,
  • utiliser un exploit pour exfiltrer des données, établir un accès en ligne de commande, établir une présence persistante sur OnePlan Systèmes limités, ou « pivot » vers d’autres OnePlan Systèmes limités.

Sles chercheurs en sécurité peuvent :

  • Afficher ou stocker OnePlan Données non publiques limitées uniquement dans la mesure nécessaire pour documenter la présence d’une vulnérabilité potentielle.

Sles chercheurs en sécurité doivent :

  • cesser les tests et nous informer immédiatement dès la découverte d'une vulnérabilité,
  • cesser les tests et nous informer immédiatement dès la découverte d'une exposition de données non publiques, et,
  • purger tout stocké OnePlan Données non publiques limitées lors du signalement d’une vulnérabilité.

Rsignaler une vulnérabilité

Nous acceptons les rapports de vulnérabilité à [email protected]. Les rapports peuvent être soumis de manière anonyme. Nous ne prenons pas en charge les e-mails cryptés avec PGP pour le moment.

Pour faciliter notre gestion de la vulnérabilité, nous attendons des rapports bien rédigés en anglais ou en français contenant les informations suivantes :

  • Heure et date de découverte
  • Modèle et numéro du produit en utilisant la nomenclature du fournisseur si possible
  • URL, informations sur le navigateur, y compris le type, la version et les entrées requises pour reproduire la vulnérabilité ;
  • Description technique – indiquez quelles actions ont été effectuées et le résultat avec autant de détails que possible ;
  • Exemple de code : si possible, fournissez le code qui a été utilisé lors des tests pour créer la vulnérabilité ;
  • Coordonnées de la partie déclarante – meilleure méthode pour joindre
  • Plan(s) de divulgation – plan actuel de divulgation ;
  • Évaluation des menaces/risques : contient des détails sur les menaces et/ou les risques identifiés, y compris un niveau de risque (élevé, moyen, faible) pour le résultat de l'évaluation ;
  • Configuration logicielle : détails de la configuration de l'ordinateur/du périphérique au moment de la vulnérabilité ;
  • Informations pertinentes sur les appareils connectés si une vulnérabilité survient lors de l'interaction. Lorsqu'un appareil secondaire déclenche la vulnérabilité, ces détails doivent être fournis.

Veuillez n'inclure aucune donnée personnelle dans vos rapports, sauf si cela est nécessaire pour vous contacter.

La participation à ce programme ne vous confère aucun droit sur la propriété intellectuelle appartenant à OnePlan Limited ou tout tiers.

Les informations soumises dans le cadre de cette politique seront utilisées uniquement à des fins défensives – pour atténuer ou corriger les vulnérabilités. Si vos découvertes incluent des vulnérabilités récemment découvertes qui affectent tous les utilisateurs d'un produit ou d'un service et pas uniquement OnePlan Limité, nous pouvons partager votre signalement avec l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), où il sera traité dans le cadre de leur processus coordonné de divulgation des vulnérabilités. Nous ne partagerons pas votre nom ou vos coordonnées sans autorisation expresse.

En nous envoyant un rapport, vous indiquez que vous avez lu, compris et accepté les directives décrites dans cette politique. pour la conduite de recherches de sécurité et la divulgation de vulnérabilités ou d'indicateurs de vulnérabilités liés à OnePlan Systèmes d'information limités et consentement à ce que le contenu de la communication et des communications de suivi soit stocké dans un système d'information de l'UE.

Afin de nous aider à trier et à hiérarchiser les soumissions, nous vous recommandons que vos rapports :

  • Adhérer à tous les termes et conditions juridiques décrits sur OnePlan Conditions d'utilisation de la divulgation responsable limitée. (à préciser dans votre email)
  • Décrivez la vulnérabilité, l'endroit où elle a été découverte et l'impact potentiel de son exploitation.
  • Proposez une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (des scripts de preuve de concept ou des captures d'écran sont utiles).

Dfermeture

OnePlan Limited s’engage à corriger les vulnérabilités rapidement. Cependant, nous reconnaissons que la divulgation publique d'une vulnérabilité en l'absence de mesures correctives facilement disponibles augmente plutôt que diminue le risque. Par conséquent, nous vous demandons de vous abstenir de partager des informations sur les vulnérabilités découvertes pendant 90 jours calendaires après avoir reçu notre accusé de réception de votre rapport. Si vous pensez que d'autres doivent être informés de la vulnérabilité avant que nous mettions en œuvre des mesures correctives, nous vous demandons de nous consulter au préalable.

Nous pouvons partager des rapports de vulnérabilités avec l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), ainsi qu'avec les éventuels éditeurs concernés. Nous ne partagerons pas les noms ni les coordonnées des chercheurs en sécurité, sauf autorisation explicite.

fréquemment posées

Les questions concernant cette politique peuvent être envoyées à [email protected]. Nous vous invitons également à nous contacter avec des suggestions pour améliorer cette politique.

Abonnez-vous à notre newsletter

d’aide

Entreprise

Adresse aux États-Unis

1968, route de la côte sud # 365
Laguna Beach CA 92651

Adresse au Royaume-Uni

Maison Kemp
152 – 160, chemin de la ville
Londres, EC1V 2NX
Drapeau français

oneplanevents.fr

Adresse aux États-Unis

1968, route de la côte sud # 365
Laguna Beach CA 92651

Adresse au Royaume-Uni

Maison Kemp
152 – 160, chemin de la ville
Londres, EC1V 2NX
Partenaire AWS
OnePlan est un officiel
partenaire d'AWS
Conférence MIT Sloan Sports Analytics
Meilleure start-up 2023
Prix ​​​​de la technologie événementielle

Meilleure plateforme de gestion d'événements
Meilleure technologie de festival

Meilleure technologie de site et d'exploitation 2022
Meilleure technologie d’exploitation de sites 2024
© OnePlan 2024 Tous droits réservés |
Linkedin-in Instagram Facebook f Youtube
Prix ​​​​de la technologie événementielle
Meilleure plateforme de gestion d'événements
Meilleure technologie de festival
Prix ​​​​de la technologie sportive
Meilleure technologie de site et d'exploitation 2022
Menu principal
Menu principal
Menu principal
Menu principal
Menu principal
Menu principal
Menu principal
Menu principal