Politique de divulgation responsable

FENDI considère ses systèmes et notamment les données à caractère personnel comme des éléments fondamentaux, dont la sécurité et la confidentialité sont un facteur essentiel pour gagner la confiance des clients de l’entreprise.


Malgré l’accent porté sur la sécurité, certaines faiblesses peuvent ne pas être détectées lors des divulgations publiques ou de nouvelles failles de sécurité peuvent apparaître.


Si vous avez découvert une faiblesse inhérente aux domaines FENDI et que vous souhaitez la partager avec nous, nous vous demandons, dans un esprit de divulgation responsable, de nous envoyer un rapport relatif à cette faiblesse de sécurité en suivant cette politique de « divulgation responsable ».


En particulier :


  • le signalement doit être fait sous une forme non anonyme en utilisant uniquement les informations rapportées au lien suivant et doit rapporter les principales informations utiles pour nous permettre d’identifier et de reproduire la faiblesse que vous souhaitez partager ;
  • la conservation de façon strictement confidentielle et secrète des faiblesses découvertes, en s’engageant à ne pas les divulguer ou à ne pas les mettre à la disposition de tiers jusqu’à ce que FENDI communique que les contre-mesures appropriées ont été appliquées, et dans tous les cas après avoir partagé les contenus que vous souhaitez divulguer, pour une protection mutuelle et afin d’éviter la divulgation involontaire d’informations d’entreprise non liées à la faiblesse et qui doivent rester confidentielles ;
  • dans le cas d’une personne morale (publique ou privée), d’un organisme, d’un consortium ou d’une autre forme d’association, la personne qui transmet le signalement s’engage à limiter l’accès aux informations sur les faiblesses détectées uniquement à ses salariés et dans la mesure strictement nécessaire pour son activité, en veillant en tout état de cause à mettre en place toutes les mesures appropriées et adéquates pour assurer la confidentialité et les limites susmentionnées d’accès et d’utilisation des informations sur les faiblesses découvertes.
  • collaborer avec l’équipe de sécurité FENDI et les groupes de travail impliqués ;
  • s’abstenir de toute activité qui pourrait entraîner une violation, une perte et/ou une destruction des données relatives aux systèmes et aux services impliqués dans le signalement et la dégradation ou l’interruption des services. En ce sens, il est expressément interdit de :
    • Accéder aux données, les modifier, les télécharger ;
    •  Mettre en œuvre des actions similaires aux attaques par « déni de service » qui peuvent endommager le fonctionnement de tout bien ou ressource FENDI ;
    • Télécharger, lier, exécuter ou envoyer un code malveillant à l’aide des systèmes FENDI ;
    • Réaliser des tests dont l’effet est l’envoi de messages indésirables, de spams ou d’autres formes de messages non autorisés.

Une fois le rapport reçu, FENDI fera tout son possible pour :


  •  envoyer une réponse dans un délai de 20 jours, en fournissant des informations sur la pertinence du rapport au regard de la politique de divulgation responsable et sur le résultat de l’analyse préliminaire réalisée par FENDI ;
  • garder le rapport confidentiel, sous réserve du respect des obligations légales et/ou des ordres reçus des Autorités.

FENDI considère que la période de confidentialité des informations s’étend jusqu’à la résolution du problème de faiblesse et la communication à la personne qui a envoyé le rapport.


Les rapports relatifs aux cas suivants sont exclus de cette politique de divulgation responsable, et seront par conséquent rejetés et laissés sans réponse :


  • les résultats de l’évaluation automatique de la faiblesse/de tests d’intrusion/d’outils de collecte d’informations
  • les résultats d’attaques par déni de service (DoS, DDoS), pour lesquelles FENDI se réserve le droit de prendre les mesures nécessaires ;
  • les résultats des évaluations effectuées sur des sites spécialisés ;
  • les bogues liés à l’interface utilisateur ou à l’expérience utilisateur qui ne constituent pas une faille de sécurité (ex. : fautes de frappe, dans le format de la page) ;
  • les relevés sur des domaines non directement gérés par FENDI ou en tout cas ne faisant pas partie du périmètre susmentionné auquel la politique s’applique ;
  • tous les rapports non liés à la sécurité et à la politique de divulgation responsable.

 


Fendi traitera les données à caractère personnel du lanceur d’alerte (nom, e-mail et éventuellement un numéro de téléphone) dans le seul but de gérer le suivi du signalement et de prendre les mesures nécessaires concernant la faiblesse signalée. Les données à caractère personnel du lanceur d’alerte pourront être divulguées aux autorités compétentes et à des sociétés tierces qui nous fournissent des services d’enquête en relation avec la faiblesse signalée.


Fendi remercie pour tous les rapports éventuels, mais précise que l’entreprise n’accorde aucune récompense (en espèces ou autres) pour les signalements et actions en lien avec des faiblesses identifiées ou présumées.


Fendi se réserve le droit de ne pas traiter les signalements non conformes aux exigences énoncées dans cette politique de divulgation responsable.


FENDI se réserve le droit de mettre à jour à tout moment la politique de divulgation responsable décrite ci-dessus.