Politique de divulgation responsable

Bluink s'engage à assurer la sûreté et la sécurité de ses clients. Nous visons à encourager un partenariat ouvert avec la communauté de la sécurité, et nous reconnaissons que le travail de la communauté est important pour continuer à assurer la sûreté et la sécurité de tous nos clients. Nous avons élaboré cette politique afin de refléter nos valeurs d'entreprise et d'assumer notre responsabilité légale envers les chercheurs en sécurité de bonne foi qui nous apportent leur expertise.

Champ d'application

La politique de divulgation responsable de Bluink couvre les produits suivants : eID-Me.

Position juridique

Bluink ne s'engagera pas dans une action légale contre les individus qui soumettent des rapports de vulnérabilité via notre alias email security@bluink.ca. Nous acceptons ouvertement les rapports pour les produits Bluink actuellement listés. Nous ne poursuivrons pas d'action légale contre les individus qui :

  • S'engagent dans des recherches sans nuire à Bluink ou à ses clients.
  • S'engagent dans des tests de vulnérabilité dans le cadre de notre programme de divulgation des vulnérabilités.
  • Tester les produits sans affecter les clients, ou recevoir la permission/consentement des clients avant de s'engager dans des tests de vulnérabilité sur leurs appareils/logiciels, etc.
  • S'abstenir de divulguer les détails de la vulnérabilité au public avant l'expiration d'un délai convenu d'un commun accord.

Comment soumettre une vulnérabilité

Les rapports de vulnérabilité peuvent être soumis à Bluink en envoyant un e-mail à security@bluink.ca.

Critères de préférence, de priorisation et d'acceptation

Nous utiliserons les critères suivants pour hiérarchiser et trier les soumissions.

Ce que nous aimerions voir dans les rapports de vulnérabilité :

  • Les rapports bien rédigés en anglais auront une probabilité plus élevée de résolution.
  • Les rapports qui incluent du code de preuve de concept nous permettent de mieux trier.
  • Les rapports qui ne comprennent qu’un vidage du core ou d'autres résultats d'outils automatisés peuvent être moins prioritaires.
  • Les rapports qui incluent des produits ne figurant pas sur la liste initiale des produits concernés peuvent être moins prioritaires.
  • Les rapports doivent inclure des détails sur la façon dont la vulnérabilité a été découverte, l'impact et toute mesure corrective potentielle.
  • Tout plan ou intention de divulgation publique.

Ce que les rapporteurs de vulnérabilité peuvent attendre de Bluink :

  • Une réponse rapide aux e-mails (dans les 2 jours ouvrables).
  • Après le triage, nous enverrons un calendrier prévu, et nous nous engageons à être aussi transparents que possible sur le calendrier de remédiation ainsi que sur les problèmes ou défis qui pourraient le prolonger.
  • Un dialogue ouvert pour discuter des problèmes.
  • Une notification lorsque l'analyse de vulnérabilité a terminé chaque étape de notre examen.

Si nous ne parvenons pas à résoudre les problèmes de communication ou d'autres problèmes, Bluink peut faire appel à un tiers neutre pour nous aider à déterminer la meilleure façon de traiter la vulnérabilité.