Signaler une vulnérabilité
Si vous pensez avoir trouvé un problème de sécurité dans Pikly, contactez-nous avant de le divulguer publiquement.
Que mentionner
Plus votre rapport est clair, plus vite nous pourrons valider et corriger le problème.
- ✓Une description claire du problème et de son impact potentiel.
- ✓Des instructions étape par étape pour reproduire le problème.
- ✓La page concernée, la version de l'application, le système d'exploitation, le navigateur, l'appareil ou la fonctionnalité.
- ✓Des captures d'écran, enregistrements d'écran, journaux ou preuves de concept lorsque c'est utile.
- ✓Les conditions requises pour déclencher le problème, comme les autorisations, les paramètres de l'appareil ou l'état de l'abonnement.
Merci de ne pas
Les tests doivent être respectueux, limités et éviter de nuire à Pikly, aux utilisateurs ou à l'infrastructure.
- ×Accéder, modifier, supprimer, copier ou exposer les données d'un autre utilisateur.
- ×Effectuer des tests par déni de service, stress, spam, limitation de débit ou épuisement des ressources.
- ×Utiliser de l'ingénierie sociale, du hameçonnage, des attaques physiques ou des tentatives contre les employés, utilisateurs ou fournisseurs de Pikly.
- ×Installer des maliciels, maintenir un accès, contourner les systèmes de paiement ou perturber les abonnements.
- ×Divulguer publiquement le problème avant que nous l'ayons examiné et eu l'opportunité raisonnable de le traiter.
Périmètre de test
Concentrez-vous sur les surfaces et fonctionnalités appartenant à Pikly que vous êtes autorisé à utiliser.
Généralement en périmètre
Pages du site public Pikly, fonctionnalités de l'application mobile Pikly, flux de scan de codes-barres, fonctionnalités d'inventaire local, comportement d'export CSV et logique d'accès aux abonnements.
Généralement hors périmètre
Plateformes tierces comme Apple, Google, les prestataires de paiement, d'hébergement, de messagerie et les problèmes nécessitant des tests nocifs ou à fort volume.
Notre processus d'examen
Nous nous efforçons de traiter les rapports avec soin et proportionnellement à leur gravité et reproductibilité.
Réception
Nous examinons votre rapport et pouvons demander des détails supplémentaires si nécessaire.
Validation
Nous tentons de reproduire le problème, d'évaluer le risque et de prioriser la correction.
Correction
Nous travaillons sur une correction, une atténuation, un changement de configuration ou une mise à jour utilisateur le cas échéant.
Coordination
Nous vous demandons de coordonner toute divulgation avec nous afin que les utilisateurs soient protégés en priorité.
Recherche de bonne foi
Nous valorisons la recherche en sécurité responsable qui respecte ces directives.
Si vous agissez de bonne foi, évitez les violations de la vie privée, évitez les perturbations de service et nous donnez une opportunité raisonnable de corriger le problème avant divulgation, nous n'engagerons pas intentionnellement d'action légale contre vous pour la recherche elle-même. Cela n'autorise pas les activités illégales, l'accès à des systèmes tiers, l'extorsion, les menaces, l'exfiltration de données ou les actions nuisant aux utilisateurs ou à l'infrastructure.
Pikly ne dispose pas actuellement d'un programme de récompense rémunéré. La soumission d'un rapport ne garantit pas une compensation, un crédit ou une reconnaissance publique.
Contact
Pour les rapports de sécurité, utilisez [email protected]. Pour les questions de confidentialité, consultez la Politique de confidentialité ou contactez-nous à la même adresse.
Objet d'e-mail suggéré
Security Report for Pikly