Politique de divulgation de vulnérabilités
Entreprise à mission, respectueux de la vie privée de chacun, nous mettons la technologie et l’innovation au service de l’humain, nous considérons que la sûreté et la sécurité de nos sociétaires et clients est l'une de nos principales priorités.
Nous mettons tout en œuvre pour assurer la meilleure qualité de service et le plus haut niveau de sécurité dans nos produits, dès leur conception. Cependant, et malgré tous nos efforts, des vulnérabilités peuvent encore être présentes.
C’est pourquoi APAYER se dote d’une politique de divulgation de vulnérabilités. Cette politique explicite la communication en matière de déclaration des potentielles vulnérabilités qui touchent ses services, ainsi que la méthode de traitement de ces déclarations.
Le point d’entrée pour les déclarations sera notre « Computer Emergency Response Team (CERT) CM-EI ».
APAYER vous remercie pour votre déclaration et de la contribution à la sécurité du plus grand nombre qu’elle représente.
Comment déclarer une potentielle faille de sécurité ?
Pour toute déclaration de vulnérabilité, merci de nous adresser un message via le formulaire suivant. Afin d’améliorer la prise en charge et l’identification de la dite vulnérabilité, merci d'inclure le maximum d'informations disponibles dans le formulaire de déclaration.
Pour des raisons de sécurité, tous nos échanges ultérieurs se feront de manière chiffrée au moyen de PGP.
Pour nous adresser des communications chiffrées, vous pouvez utiliser notre clé PGP disponible sur le site Crédit Mutuel.
Le traitement de votre déclaration
Suite à votre déclaration, nos équipes analyseront son contenu afin de valider la qualification de vulnérabilité dans les plus brefs délais. Nous vous recontacterons uniquement si des informations complémentaires sont nécessaires.
De plus :
- Aucune rémunération n’est prévue dans le cadre de ce programme et cela même si la faille de vulnérabilité est avérée ;
- Pour des raisons de sécurité, aucune publication des failles et de leur résolution ne sera faite.
APAYER reste seul juge de la classification de la vulnérabilité et de la catégorisation du risque qui en découle. Le traitement et délai de résolution des dites vulnérabilités restent à la discrétion de APAYER.
Exigences en matière de divulgation
En soumettant à APAYER votre déclaration de vulnérabilité vous êtes tenu de :
- Vous conformer aux lois applicables ;
- Ne pas effectuer d'attaques par déni de service ou par épuisement des ressources ;
- Utiliser les systèmes de APAYER sans but de nuire au Groupe, à ses clients, à ses employés ou à ses tiers ;
- N'utiliser, ne modifier, ou n’effacer aucune donnée à laquelle vous pourriez accéder en exploitant la dite vulnérabilité ;
- Ne pas effectuer d'ingénierie sociale, de spam ou d'attaques de phishing à l’encontre des employés de APAYER ou de ses tiers de confiance ;
- Ne pas tester la sécurité physique des biens de APAYER ou de ses tiers ;
- Ne pas divulguer les informations relatives à cette déclaration, la vulnérabilité signalée, ni le fait qu'une vulnérabilité a été signalée à APAYER.
Cet engagement de non divulgation s'applique indépendamment du fait que APAYER ait eu connaissance ou non de l'information préalablement.
Tous les aspects de ce processus sont sujets à changement sans préavis.
La déclaration d’une vulnérabilité ne vous confère aucun droit de propriété intellectuelle sur des actifs appartenant à APAYER ou à un de ses tiers.
Les informations recueillies sur ce site font l'objet d'un traitement informatique destiné au Groupe Crédit Mutuel - CIC. Les destinataires de ces données sont le Groupe Crédit Mutuel - CIC ainsi que son partenaire (commerçant, association, collectivité locale ou territoriale) pour lequel vous souhaitez faire un paiement. Seul le Groupe Crédit Mutuel - CIC sera destinataire de vos données bancaires. Conformément à l'article 27 de la Loi Nº 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, vous disposez d'un droit d'accès, de rectification, de suppression relatif aux données vous concernant. Si vous souhaitez exercer ce droit, veuillez vous adresser à Monetico Paiement Support Client par courriel à l'adresse : centrecom@e-i.com. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.