Sécurité

HEETCH s'engage à garantir la sécurité et la confidentialité de tous les passagers et conducteurs en protégeant leurs informations. La présente politique vise à donner aux chercheurs en sécurité des lignes directrices claires pour mener des activités de découverte de vulnérabilités et à leur faire part de nos préférences quant à la manière de nous soumettre les vulnérabilités découvertes. Cette politique décrit les systèmes et les types de recherche couverts, la manière de nous envoyer des rapports de vulnérabilité et le temps que nous demandons aux chercheurs en sécurité d'attendre avant de divulguer publiquement les vulnérabilités.

Heetch s'engage à ne pas poursuivre les parties qui soumettent des rapports de vulnérabilité dans le cadre de ce programme si le(s) déclarant(s):

• N'utilise(nt) pas d'outils automatisés de découverte de vulnérabilités (ex : scanners)
• Effectue(nt) des recherches sur la sécurité sans nuire à Heetch ou à ses clients, employés ou fournisseurs de services
• N'utilise(nt) pas, ne divulgue(nt) pas et ne modifie(nt) pas les données obtenues dans le cadre de ces recherches
• N'effectue(nt) aucune action qui affecte le bon fonctionnement des servicesN'effectue(nt) pas d'attaque par déni de service

‍

Dans le cadre de cette politique, on entend par "recherche" les activités dans lesquelles vous :

• Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel
• Mettez tout en œuvre pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation de données
• N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence de vulnérabilités
• N'utilisez pas un exploit pour compromettre ou exfiltrer des données, établir la persistance ou utiliser un exploit pour pivoter vers d'autres systèmes.
• N'utilisez pas un exploit pour compromettre ou exfiltrer des données, pour établir une persistance ou pour utiliser l'exploit afin de pivoter vers d'autres systèmes.
• Laissez-nous un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
• Une fois que vous avez établi qu'une vulnérabilité existe ou que vous rencontrez des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations propriétaires ou des secrets commerciaux de toute partie), vous devez arrêter votre test, nous en informer immédiatement et ne pas divulguer ces données à qui que ce soit d'autre

‍

Les méthodes de test suivantes ne sont pas autorisées :

• Les tests de déni de service du réseau (DoS ou DDoS) ou d'autres tests qui entravent l'accès à un système ou à des données ou les endommagent
• les tests physiques (par exemple, accès aux bureaux, portes ouvertes, filature), l'ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal) ou tout autre test de vulnérabilité non technique, que ce soit sur les clients (passagers), les chauffeurs ou les employés de Heetch.

‍

Cette politique s'applique aux systèmes et services suivants:

• heetch.net
• heetch.com

‍

Code source sur les dépôts publics Github

• IOS Applications
• Android applications

‍

Tout service qui n'est pas expressément énuméré ci-dessus, comme les services connectés, est exclu du champ d'application et n'est pas autorisé à être testé. En outre, les vulnérabilités découvertes dans les systèmes de tout fournisseur qui utilise des services et/ou des outils Heetch ne relèvent pas du champ d'application de la présente politique et doivent être signalées directement au fournisseur conformément à sa politique de divulgation (s'il y en a une).

Nous acceptons les rapports de vulnérabilité via security@heetch.com

Pour les rapports sensibles, vous pouvez nous envoyer des messages cryptés en utilisant notre clé PGP ci-dessous :

-----BEGIN PGP PUBLIC KEY BLOCK-----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8GF4
-----END PGP PUBLIC KEY BLOCK-----
	

Par défaut, nous ne récompensons pas les rapports de vulnérabilité, mais si vous le demandez et si la vulnérabilité est confirmée, nous pouvons nous engager publiquement à propos de votre divulgation sur notre Hall of Fame.

In order to help us triage and prioritize submissions, we recommend that your reports:

• Describe the location the vulnerability was discovered and the potential impact of exploitation.
• Offer a detailed description of the steps needed to reproduce the vulnerability (proof of concept scripts or screenshots are helpful).
• Be in English, if possible.

Lorsque vous choisissez de nous communiquer vos coordonnées, nous nous engageons à coordonner notre action avec vous de la manière la plus ouverte et la plus rapide possible.

• Dans un délai de trois jours ouvrables, nous accuserons réception de votre rapport.
• Dans la mesure du possible, nous vous confirmerons l'existence de la vulnérabilité et serons aussi transparents que possible sur les mesures que nous prenons au cours du processus de remédiation, y compris sur les problèmes ou les défis susceptibles de retarder la résolution.
• Nous maintiendrons un dialogue ouvert pour discuter de ces problèmes.

‍

Les questions relatives à cette politique peuvent être envoyées à security@heetch.com. Nous vous invitons également à nous contacter pour nous faire part de vos suggestions en vue d'améliorer cette politique.