Conditions d'utilisation du programme de divulgation responsable

Merci d'avoir proposé de partager avec nous des informations concernant une vulnérabilité de sécurité. La sécurité de nos applications et des données que nous sommes responsables de protéger est importante pour nous et nous sommes reconnaissants pour toute information que vous pouvez partager avec nous sur la façon dont nous pouvons encore l'améliorer.

En soumettant un rapport de vulnérabilité, vous acceptez les conditions ci-dessous (les « Conditions d'utilisation »), qui visent à vous protéger ainsi que nous.

1. Port de sécurité. Si vous nous soumettez un rapport de vulnérabilité, en utilisant le processus décrit ci-dessous, conformément à tous les termes des présentes conditions d'utilisation, nous n'engagerons pas de poursuites civiles ni ne déposerons de plainte auprès des forces de l'ordre contre vous pour avoir accédé à nos systèmes sans autorisation dans afin d'identifier cette vulnérabilité.

2. Processus de soumission. Veuillez nous soumettre tous les rapports de vulnérabilité par e-mail à l'adresse e-mail ResponsibleDisclosure@mit-solutions.com .

Dans chaque rapport soumis, incluez :

un. une description de la vulnérabilité ;
b. l'URL, l'adresse IP, le port ou toute autre information qui pourrait nous aider à localiser la vulnérabilité ;
c. des étapes détaillées et claires pour reproduire le problème (y compris les journaux, captures d'écran, réponses ou autres preuves) ou le code de preuve de concept ;
d. comment vous avez trouvé le problème ;
e. impact présumé;
F. les mesures correctives que vous suggéreriez ; et
g. votre nom et vos coordonnées

3. Portée. Vous ne pouvez accéder à aucun poste de travail individuel, ni système, réseau, contenu, application ou données d'un tiers, en relation avec ce programme. La sphère de sécurité décrite ci-dessus ne s'applique pas à ces systèmes, contenus réseau, applications ou données.

4. Méthodologie. Vous ne pouvez pas vous lancer dans une attaque par déni de service, tenter de compromettre la sécurité physique ou pénétrer dans des locaux physiques, ou toute autre méthodologie destructrice. Dès que vous avez identifié la vulnérabilité, vous devez cesser de la tester et la signaler comme décrit ci-dessus. La sphère de sécurité décrite ci-dessus ne s'applique à aucune activité qui viole les termes de cette section.

5. Aucun accès aux données personnelles ni utilisation abusive des données. En participant à ce programme, vous déclarez que vous n'avez à aucun moment accédé aux données personnelles de nos clients ou utilisateurs trouvées sur nos systèmes et que, dans le cas où vous en auriez acquis par inadvertance, vous avez supprimé ces données en toute sécurité. Vous déclarez que vous n'avez pas utilisé, et vous vous engagez à ne pas utiliser à mauvais escient, les données extraites de notre environnement à des fins frauduleuses, malveillantes, diffamatoires, abusives, menaçantes, illégales ou autrement inappropriées.

6. Droits de propriété intellectuelle. En soumettant des informations relatives à une vulnérabilité, vous nous accordez une licence perpétuelle, mondiale, libre de droits et entièrement payée pour utiliser et divulguer toute information que vous soumettez, y compris les preuves de concept, les correctifs, les améliorations, les suggestions, les échantillons de code ou tout autre d'autres informations, en relation avec la vulnérabilité, pour analyser, corriger ou améliorer nos systèmes et réseaux, les intégrer dans nos produits ou services et pour effectuer des tests supplémentaires, ou à toute autre fin commerciale légitime. Nous ne vous accordons aucun droit de propriété intellectuelle sur toute image, information, écrit, invention, code ou autre création en relation avec les présentes Conditions d'utilisation.

7. Les sanctions. En soumettant des informations relatives à une vulnérabilité, vous déclarez que vous n'êtes soumis à aucune sanction à l'exportation ou autre restriction commerciale, que ce soit en raison de votre inscription sur la liste des sanctions tenue par l'Office américain du contrôle des actifs étrangers ou d'autres organismes gouvernementaux aux États-Unis. États ou Union européenne, individuellement, étant membre d'une organisation figurant sur cette liste, ou étant résident d'un pays sanctionné par les États-Unis ou l'Union européenne.

8. Entrepreneur indépendant. Rien en relation avec votre soumission d'une vulnérabilité n'indiquera que vous êtes un employé du BCG et la relation entre vous et le BCG ne constituera pas un partenariat, une coentreprise ou une agence. Vous n'aurez pas le pouvoir de faire une déclaration, une représentation ou un engagement au nom du BCG.

9. Avis de non-responsabilité et d'obligation. BCG, ses dirigeants, sociétés affiliées, représentants, sous-traitants et employés ne seront pas responsables envers vous dans le cadre des présentes conditions d'utilisation pour tout dommage direct, indirect, exemplaire, accessoire, spécial ou consécutif. Sauf accord contraire du BCG, toute information soumise par vous en relation avec une vulnérabilité est fournie gratuitement et le BCG ne vous devra aucun frais pour cette soumission ou pour les services rendus ou les dépenses engagées.

10. Divers. Ces conditions d'utilisation sont régies par les lois du Commonwealth du Massachusetts, sans égard aux principes de conflit de lois. Vous ne devez utiliser aucun logo ou autre marque du BCG sans notre consentement préalable explicite.

11. Messages cryptés. Veuillez utiliser notre clé PGP publiée dans l'élément réductible ci-dessous pour envoyer un message crypté.