Sécurité chez Ease2pay

En tant que fournisseur de solutions IoT et de plateforme de paiement, Ease2pay impose les plus hautes exigences en matière de cybersécurité à ses appareils connectés, ses applications et ses applications web. Nos développeurs s’engagent à protéger votre vie privée.

Signalement des vulnérabilités

Veuillez envoyer vos constatations ou remarques via notre page de contact.

Idéalement, votre message devrait contenir les informations suivantes :

• Produit/application concerné(e).
• Description de la vulnérabilité identifiée.
• Si disponible : code de preuve de concept (PoC), exploit ou capture de paquets.

La politique d’Ease2pay en matière de divulgation des vulnérabilités.

Introduction

En tant que fournisseur de solutions IoT et de plateforme de paiement, la protection des informations des utilisateurs constitue une priorité absolue et une valeur fondamentale pour Ease2pay. C’est pourquoi nous accueillons favorablement la contribution de chercheurs en sécurité externes afin d’améliorer la sécurité de nos produits et de nos applications informatiques. La présente politique définit le cadre dans lequel Ease2pay garantit une divulgation responsable des vulnérabilités de sécurité. Cette politique est sujette à des modifications et s’applique dans sa dernière version en vigueur.

Champ d’application

La présente politique s’applique à tous les produits et composants, connectés ou non, développés, produits ou commercialisés par Ease2pay, ainsi qu’à toutes les applications informatiques accessibles au public d’Ease2pay.

Nous nous intéressons aux constats exploitables qui conduisent directement à une vulnérabilité exploitable ou permettent de compromettre à distance les données des utilisateurs.

Remarque : les rapports de vulnérabilités ayant un impact minimal sur la sécurité (p. ex. en-têtes manquants), les résultats non vérifiés d'analyses automatisées, les vulnérabilités échappant au contrôle d'Ease2pay et celles qui ne respectent pas les exigences énoncées ci-dessous sont exclus du périmètre.

Conditions et divulgation responsable 

Si vous pensez avoir découvert une vulnérabilité dans une application informatique ou si vous souhaitez signaler un incident de sécurité, vous pouvez partager vos constatations ou remarques avec nous via la page de contact. 

Idéalement, votre message devrait contenir les informations suivantes :

• Produit/application concerné(e).
• Description de la vulnérabilité identifiée.
• Si disponible : code de preuve de concept (PoC), exploit ou capture de paquets. 

Afin d’accélérer le processus de signalement, nous vous demandons :

• Partagez avec nous le problème de sécurité en détail.
• Respectez nos applications et systèmes, et n’interrompez pas nos activités.
• Accordez-nous un délai raisonnable pour répondre au problème avant de divulguer publiquement toute information. Nous nous efforcerons de vous contacter dans les plus brefs délais et de corriger une vulnérabilité dans un délai de 90 jours. Nous vous demandons de maintenir la confidentialité de toutes les communications et informations durant cette période. Nous nous réservons le droit de modifier ces délais en cas de circonstances exceptionnelles.
• N’accédez pas à nos données ni à celles de nos utilisateurs et ne les modifiez pas sans l’autorisation expresse du propriétaire. Limitez vos interactions aux comptes qui vous appartiennent ou à des comptes de test utilisés pour la recherche en sécurité.
• Contactez-nous immédiatement si vous accédez accidentellement à des données d’utilisateurs. Ne les consultez pas, ne les modifiez pas, ne les stockez pas, ne les transférez pas et supprimez immédiatement toute information locale après avoir signalé la vulnérabilité à l’adresse e-mail mentionnée ci-dessus.
• Agissez de bonne foi afin d’éviter toute atteinte à la vie privée, toute destruction de données et toute interruption ou dégradation de nos services (y compris les attaques par déni de service).
• Respectez par ailleurs toutes les lois applicables.

Conséquences du respect de la présente politique

Dans la version actuelle, nous n’engagerons aucune action civile et ne déposerons aucune plainte auprès des autorités judiciaires pour des violations accidentelles commises de bonne foi dans le cadre de cette politique. Nous considérons les activités effectuées conformément à cette politique comme un comportement « autorisé ». Dans la mesure où vos activités contreviennent à certaines restrictions prévues par notre politique, nous renonçons à ces restrictions dans le but limité de permettre la recherche en sécurité dans le cadre de cette politique. Nous n’intenterons aucune action contre vous pour avoir contourné les mesures technologiques que nous utilisons afin de protéger les applications couvertes par ce champ d’application.

Nous tenons à vous remercier en tant que contributeur important. Vos remarques et signalements nous aident à renforcer la sécurité de nos systèmes. Nous souhaitons exprimer notre gratitude et vous mentionner dans les rapports publics sur les vulnérabilités. Merci de nous indiquer si, et sous quel nom, vous souhaitez y être mentionné.

Date      Rapport de vulnérabilité     Contributeur

|   15-12-2022  |       Download 1                       |    Ease2pay      |

Si vous pensez avoir découvert une vulnérabilité dans une application informatique ou si vous souhaitez signaler un incident de sécurité, vous pouvez nous envoyer vos constatations ou remarques par e-mail via le bouton prévu à cet effet sur la page de contact.

Idéalement, votre message devrait contenir les informations suivantes :

• Produit/application concerné(e).
• Description de la vulnérabilité identifiée.
• Si disponible : code de preuve de concept (PoC), exploit ou capture de paquets. 

Afin d’accélérer le processus de signalement, nous vous demandons :

• Partagez avec nous le problème de sécurité en détail.
• Respectez nos applications et systèmes, et n’interrompez pas nos activités.
• Accordez-nous un délai raisonnable pour répondre au problème avant de divulguer publiquement toute information. Nous nous efforcerons de vous contacter dans les plus brefs délais et de corriger une vulnérabilité dans un délai de 90 jours. Nous vous demandons de garder toutes les communications et informations confidentielles pendant cette période. Nous nous réservons le droit de modifier ces délais en cas de circonstances exceptionnelles.
• N’accédez pas à nos données ni à celles de nos utilisateurs et ne les modifiez pas sans l’autorisation expresse du propriétaire. Limitez vos interactions aux comptes qui vous appartiennent ou à des comptes de test utilisés pour la recherche en sécurité.
• Contactez-nous immédiatement si vous accédez accidentellement à des données d’utilisateurs. Ne les consultez pas, ne les modifiez pas, ne les stockez pas, ne les transférez pas et supprimez immédiatement toute information locale après avoir signalé la vulnérabilité à l’adresse e-mail mentionnée ci-dessus.
• Agir de bonne foi afin d’éviter toute atteinte à la vie privée, toute destruction de données et toute interruption ou dégradation de nos services (y compris le refus de service) ; et se conformer par ailleurs à toutes les lois applicables.

Signalement des vulnérabilités

Envoyez-nous un message avec vos constatations ou remarques via la page de contact.

Idéalement, votre message devrait contenir les informations suivantes :

Produit/application concerné(e).

Description de la vulnérabilité identifiée.

Si disponible : code de preuve de concept (PoC), exploit ou capture de paquets.