Divulgation Responsable

Dernière mise à jour: 30/06/2021

Chez DOBCO Medical Systems, nous croyons que la sécurité de nos systèmes, de notre réseau et de nos produits est primordiale.

Nous y accordons beaucoup d'attention lors du développement et de la maintenance. Cependant, les vulnérabilités échappent parfois à la détection.

Si vous avez trouvé une vulnérabilité dans l'un de nos systèmes, veuillez nous en informer afin que nous puissions prendre des mesures le plus rapidement possible. Nous souhaitons travailler avec vous pour mieux protéger nos données, nos utilisateurs et nos systèmes.

Nous avons donc opté pour une politique de divulgation coordonnée des vulnérabilités (également appelée «Divulgation Responsable») afin que vous puissiez nous informer lorsque vous découvrez une vulnérabilité.

Cette politique de divulgation responsable s'applique aux systèmes suivants, maintenus par DOBCO Medical Systems:

• -     https://www.dobcomed.com
• -     https://secure.pacsonweb.com
• -     https://france.pacsonweb.com
• -     https://norway.pacsonweb.com
• -     https://slovenia.pacsonweb.com
• -     https://swiss.pacsonweb.com
• -     https://secure.risonweb.com

En cas de doute, veuillez nous contacter pour clarifier les choses via infosec@dobcomed.com

Ce que nous vous demandons

Si vous découvrez une vulnérabilité dans l'un de nos systèmes, nous vous demandons de:

• Signalez la vulnérabilité dès que possible après la découverte. Envoyez vos résultats à infosec@dobcomed.com.
• Fournir suffisamment d'informations pour reproduire la vulnérabilité afin que nous puissions résoudre le problème le plus rapidement possible. Normalement, l'URL du système affecté et une description de la vulnérabilité sont suffisantes, mais pour des vulnérabilités plus complexes, davantage peut être nécessaire.
• Laissez vos coordonnées afin que DOBCO Medical Systems puisse vous contacter pour travailler ensemble pour un résultat sûr. Laissez au moins votre nom, votre adresse e-mail et / ou votre numéro de téléphone. Le signalement sous un pseudonyme est possible, mais assurez-vous que nous pouvons vous contacter si nous avons des questions supplémentaires.
• Confirmez que vous avez agi et que vous continuerez d'agir conformément à la présente politique de divulgation responsable.

Règles que vous devez suivre

• Ne partagez pas d'informations sur le problème de sécurité avec d'autres personnes avant que le problème ne soit résolu. Voir ci-dessous pour une éventuelle publication.
• N'exploitez pas la vulnérabilité en copiant, supprimant, adaptant ou visualisant des données inutilement. Ou, par exemple, en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité.
• N'appliquez aucune des actions suivantes:
  • Placement de logiciels malveillants
  • Copie, modification ou suppression de données dans un système.
  • Apporter des modifications au système.
  • Accès répété au système ou partage de l'accès avec d'autres.
  • Utilisation d'outils de numérisation automatisés.
  • Utilisation d'accès «force brute» aux systèmes.
  • Utilisation d’attaques (D)DOS, d’attaques physiques ou d'ingénierie sociale (phishing, vishing, spam, ...).
• Effacez immédiatement toutes les données obtenues grâce à la vulnérabilité dès que la vulnérabilité a été signalée à DOBCO Medical Systems.
• N'effectuez pas d'actions qui pourraient avoir un impact sur le bon fonctionnement du système, à la fois en termes de disponibilité et de performances, mais aussi en termes de confidentialité et d'intégrité des données.

Les actes en vertu de cette politique de divulgation responsable doivent se limiter à la réalisation de tests pour identifier les vulnérabilités potentielles et au partage de ces informations avec DOBCO Medical Systems.

Si, après la suppression de la vulnérabilité, vous souhaitez publier des informations sur la vulnérabilité, nous vous demandons de nous en informer au moins un mois avant la publication, et de nous donner la possibilité d'y répondre. Nous identifier dans une publication n'est possible qu'après avoir donné notre accord explicite.

Ce que nous promettons

Si vous vous êtes conformé aux conditions ci-dessus de la politique de divulgation responsable et n'avez commis aucune autre violation,

• nous n'engagerons aucune action en justice contre vous.
• nous répondrons à votre rapport dans les meilleurs délais, si possible dans un délai de 10 jours ouvrables, avec notre analyse du rapport et toute date prévue de résolution.
• nous traiterons votre rapport de manière confidentielle et ne partagerons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour se conformer à une obligation légale.
• nous vous tiendrons informés de l'avancement de la résolution du problème.
• nous tenons à vous remercier d'avoir signalé un problème de sécurité qui ne nous est pas encore connu en vous offrant la possibilité d'être répertorié dans notre "Hall Of Fame".
• nous nous efforçons de résoudre tous les problèmes dans les meilleurs délais.

Nous nous reservons le droit d'ignorer les rapports de mauvaise qualité.

Si vous avez des questions, nous vous encourageons à les adresser à infosec@dobcomed.com.

En cas de doute sur l'applicabilité de cette politique, veuillez d'abord nous contacter via cette adresse e-mail, pour demander une autorisation explicite.

Nous nous réservons le droit de modifier le contenu de cette politique à tout moment ou de mettre fin à la politique.

Ce texte est une œuvre dérivée de «Responsible Disclosure» de Floor Terra, utilisée sous une licence Creative Commons Attribution 3.0.