1. Introduction
La securite est au coeur de notre fonctionnement. Nous accueillons les signalements de chercheurs en securite, de hackers ethiques et de la communaute au sens large qui nous aident a identifier et a corriger les vulnerabilites potentielles. Cette politique decrit comment signaler les problemes de securite de maniere responsable et ce que vous pouvez attendre de nous.
2. Perimetre
Cette politique s'applique aux vulnerabilites decouvertes dans l'application Web unofax sur unofax.com et ses API associees. Les elements suivants sont hors perimetre :
• Services tiers (par ex. traitement des paiements Square, Google Analytics)
• Attaques d'ingenierie sociale ou de phishing contre les employes ou utilisateurs de unofax
• Attaques par deni de service (DoS/DDoS)
• Problemes de securite physique
• Vulnerabilites dans des logiciels ou infrastructures n'appartenant pas a unofax
3. Comment signaler
Si vous decouvrez une vulnerabilite de securite potentielle, veuillez nous la signaler par e-mail a support@unofax.com. Incluez autant de details que possible :
• Une description de la vulnerabilite et de son impact potentiel
• Les etapes pour reproduire le probleme
• Toute preuve a l'appui (captures d'ecran, code de preuve de concept, journaux)
• Votre nom et vos coordonnees (facultatif, mais utile pour le suivi)
4. Nos engagements
Lorsque vous signalez une vulnerabilite de bonne foi et conformement a cette politique, nous nous engageons a :
• Accuser reception de votre signalement dans un delai de 3 jours ouvrables
• Fournir une evaluation initiale dans un delai de 10 jours ouvrables
• Vous tenir informe de l'avancement de la resolution du probleme
• Ne pas engager de poursuites judiciaires contre vous pour vos activites de recherche menees conformement a cette politique
• Vous crediter (si vous le souhaitez) lorsque nous traitons publiquement la vulnerabilite
5. Directives pour les chercheurs
Pour vous assurer que vos recherches sont menees de maniere responsable, veuillez respecter les directives suivantes :
• N'accedez pas, ne modifiez pas et ne supprimez pas les donnees d'autres utilisateurs
• Ne perturbez pas et ne degradez pas la disponibilite des services de unofax
• Ne divulguez pas publiquement la vulnerabilite avant que nous ayons eu une opportunite raisonnable de la corriger
• Agissez de bonne foi et evitez toute action susceptible de nuire a unofax ou a ses utilisateurs
• Ne testez que sur des comptes que vous possedez ou pour lesquels vous avez une autorisation explicite
6. Protection juridique
Nous considerons que la recherche en securite menee conformement a cette politique est autorisee et nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui respectent ces directives. Si une action en justice est engagee par un tiers contre vous pour des activites menees conformement a cette politique, nous prendrons des mesures raisonnables pour faire savoir que vos actions etaient autorisees.
7. Exclusions
Les types de decouvertes suivants ne sont generalement pas eligibles dans le cadre de cette politique :
• En-tetes de securite manquants ne conduisant pas a un exploit demonstrable
• Clickjacking sur des pages sans actions sensibles
• Self-XSS (cross-site scripting n'affectant que la propre session de l'utilisateur)
• Absence de limitation de debit sans demonstration de potentiel d'abus
• Vulnerabilites necessitant des navigateurs ou plugins obsoletes
• Problemes decouverts par un scan automatise sans verification manuelle
8. Contact
Pour tous les signalements et questions, veuillez envoyer un e-mail a support@unofax.com.