Divulgation responsable
Dernière mise à jour décembre 2021
Chez Unbabel Inc., nous sommes convaincus de l'importance de sécuriser nos produits et services et nous apprécions les efforts et la transparence de la communauté des chercheurs en sécurité qui nous signalent les vulnérabilités qui ont pu nous échapper au cours des activités de test de sécurité des phases de développement et de test. Si vous trouvez une faille dans l'un de nos systèmes, nous préférons en être informés le plus rapidement possible afin de pouvoir prendre des mesures pour protéger nos clients, notre communauté d'éditeurs et notre personnel.
1. Règles d'engagement (RdE)
Les règles d'engagement que nous vous demandons, en tant que chercheur en sécurité/hacker éthique, sont les suivantes :
- Use solely the security@unbabel.com channel to report vulnerability information to us;
- Les informations sur les vulnérabilités que vous avez découvertes doivent rester confidentielles entre vous et Unbabel ;
- Nous n'autorisons pas les tests avec authentification et ne pouvons donc pas fournir d'informations d'identification ;
- Veuillez faire tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production (par exemple, les attaques délibérées par déni de service) et la destruction de données pendant les tests de sécurité. Veuillez éviter également l'exploitation de vulnérabilités réelles susceptibles de nuire directement ou indirectement à Unbabel ou à toute partie intéressée ;
2. Comment faire un rapport
You can report vulnerabilities to us via security@unbabel.com. Please always include a description of the vulnerability itself, where exactly did you identify this vulnerability, evidence of the issue (if applicable; screenshots, videos and similar are encouraged), as well as steps explaining how to replicate the vulnerability (we cannot reward nor acknowledge vulnerabilities we cannot verify).
3. Notre engagement
Si vous suivez ces instructions lorsque vous nous signalez un problème, nous nous engageons à :
- Ne pas poursuivre ou soutenir une action en justice liée à votre recherche ;
- Travailler avec vous pour comprendre et résoudre rapidement le problème, y compris a) confirmer la réception du rapport dans les 5 jours suivant la soumission et b) fournir nos conclusions sur le rapport dans les {2} jours suivant la réception du rapport ;
- Vous indemniser de manière appropriée en fonction de la gravité de la vulnérabilité telle qu'elle est déterminée par nos résultats de triage interne.
- Pour obtenir une compensation, nous demandons aux chercheurs en sécurité et aux hackers éthiques de signer un accord de confidentialité (NDA), de fournir une copie d'une pièce d'identité valide, de produire une facture pour notre siège social basé aux États-Unis et de signer un formulaire de déclaration d'impôts aux États-Unis.
4. Exclusions
Ce programme n'est pas destiné à recueillir des plaintes. Il n'est pas non plus destiné à :
- Signaler des problèmes que nous connaissons déjà.
- Signaler que notre site web ou un de nos services n'est pas disponible, ou nous signaler une attaque DDoS.
- Signaler les messages d'erreur qui ne contiennent pas d'informations sensibles ou tout comportement d'erreur qui ne présente pas de risque pour la sécurité.
- Signaler les e-mails d'hameçonnage.
- Signaler une fraude.