Divulgation responsable

Chez Smartschool nous attachons beaucoup d’importance à la protection de nos systèmes. Malgré notre souci pour la sécurisation de nos systèmes, on n’est jamais à l’abri d’une faille.

Si vous avez trouvé une faille dans l’un de nos systèmes, nous serons heureux d’en être informés afin d’entreprendre les mesures nécessaires le plus rapidement possible. Nous voulons collaborer avec vous afin de mieux protéger nos clients et nos systèmes.

Nous vous demandons de …

  • envoyer vos constatations par e-mail à responsibledisclosure@smartschool.be. Cryptez vos constatations avec notre PGP key afin d’éviter que ces informations ne tombent entre de mauvaises mains;
  • ne pas utiliser le problème à mauvais escient par exemple en téléchargeant plus de données que nécessaire pour démontrer la fuite ou en examinant, supprimant ou adaptant les données de tierces personnes;
  • ne pas partager le problème avec des tiers tant que celui-ci n’est pas réglé et d’effacer les données sensibles obtenues suite à la faille immédiatement après que la faille ait été comblée;
  • ne pas faire usage d’attaques sur la sécurité physique,d’ingénierie sociale, par déni de service, spam ou applications de tierces personnes;
  • donner suffisamment d’informations afin de pouvoir reproduire le problème pour que nous puissions le solutionner au plus vite. Dans la plupart des cas, l’adresse IP ou l’URL du système touché et une description de la faille suffisent mais de plus amples informations peuvent être nécessaires pour une faille plus complexe.

Nous vous promettons …

  • Nous réagissons endéans les 3 jours suite à votre message signalant un problème avec notre rapport sur le problème et une estimation de date à laquelle celui-ci sera solutionné.
  • Si vous avez respecté les conditions mentionnées ci-dessus, aucune procédure judiciaire ne sera intentée de notre part à votre égard concernant ce signalement.
  • Nous traitons votre signalement de façon confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre autorisation sauf pour des raisons légales. Il est possible de signaler des faits sous le couvert d’un pseudonyme.
  • Nous vous tenons informé de l’état d’avancement de la résolution du problème.
  • Si vous le désirez, nous pouvons vous mentionner comme la personne ayant découvert le problème lors de publications à ce sujet.
  • Afin de vous remercier pour votre aide, nous offrons une récompense pour tout signalement d’un problème au niveau de la sécurité non connu par nos services. L’ampleur de la récompense est déterminée par nos soins en fonction de l’importance du problème et de la qualité du signalement de celui-ci. Le montant de la récompense s’élève à une valeur minimale de 50 € sous la forme d’un chèque-cadeau.

Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible et nous participons avec plaisir à une éventuelle publication au sujet d’un problème après que celui-ci ait été résolu.