Politique de divulgation des vulnérabilités
La sécurité, la confidentialité et l'intégrité de nos produits sont une priorité absolue pour Maven Clinic. C'est pourquoi nous apprécions le travail des chercheurs qui contribuent à améliorer notre niveau de sécurité et de confidentialité. Nous nous engageons à créer un environnement sûr et transparent pour le signalement des vulnérabilités.
Si vous pensez avoir découvert une faille de sécurité ou de confidentialité susceptible d'affecter Maven Clinic ou nos utilisateurs, nous vous encourageons à la signaler immédiatement. Nous examinerons tous les signalements légitimes et corrigerons le problème dans les meilleurs délais. Cette politique décrit les considérations et les engagements relatifs à la divulgation responsable des failles de sécurité potentielles à Maven Clinic.
But
Notre politique de divulgation des vulnérabilités a pour principal objectif de garantir leur correction rapide, afin de protéger les informations de nos clients et utilisateurs. Elle vise à fournir des directives claires pour le signalement des vulnérabilités de sécurité potentiellement inconnues ou dangereuses.
Chercheurs en sécurité
Maven Clinic reconnaît la contribution essentielle des chercheurs en sécurité et encourage la divulgation responsable et directe des vulnérabilités potentielles. Nous acceptons les rapports de vulnérabilité de toutes sources.
Nos engagements envers les chercheurs
- Nous maintiendrons la confidentialité habituelle dans nos communications avec vous.
- Nous collaborerons avec vous pour valider vos informations et y répondre.
- Nous enquêterons et mettrons en œuvre tous les efforts raisonnables pour remédier aux problèmes validés, d'une manière compatible avec la protection de la sécurité des personnes potentiellement affectées par une vulnérabilité signalée.
- Maven Clinic se réserve tous ses droits légaux en cas de non-respect de la présente politique, mais elle n'entend pas engager de poursuites judiciaires contre toute partie qui effectue des recherches en matière de sécurité et nous divulgue des informations de bonne foi et conformément aux dispositions de la présente politique.
Ce que nous demandons aux chercheurs
- Nous vous demandons de communiquer les informations relatives aux failles de sécurité potentielles de manière responsable. Cela implique de respecter toutes les lois applicables et la vie privée des personnes. Vos recherches en matière de sécurité doivent également veiller à ne pas dégrader l'expérience utilisateur, perturber les systèmes ni détruire les données.
- Nous demandons aux chercheurs de fournir suffisamment de détails techniques et de contexte pour permettre à notre équipe d'identifier et de valider les problèmes signalés.
- Nous demandons aux chercheurs d'agir dans l'intérêt général, en protégeant la vie privée et la sécurité des utilisateurs et en s'abstenant de divulguer publiquement les vulnérabilités.
Portée
Cette politique s'applique aux systèmes et services suivants :
mavenclinic.com, et les noms d'hôte suivants :
- www.mavenclinic.com
- Tout autre sous-domaine de mavenclinic.com et toutes les applications clientes sont exclus de cette politique.
mavenpractitioners.com, et les noms d'hôte suivants :
- www.mavenpractitioners.com
- Tout autre sous-domaine de mavenclinic.com et toutes les applications clientes sont exclus de cette politique.
- Applications mobiles pour iOS et Android
Les services non expressément mentionnés ci-dessus, tels que les services connectés, sont exclus du champ d'application et ne sont pas autorisés pour les tests. De plus, les vulnérabilités découvertes dans les systèmes de nos fournisseurs ne relèvent pas du champ d'application de cette politique et doivent être signalées directement au fournisseur conformément à sa politique de divulgation (le cas échéant). En cas de doute quant à l'inclusion ou non d'un système dans le champ d'application, veuillez nous contacter. sécurité@mavenclinic.com avant de commencer vos recherches.
Les activités suivantes sont explicitement exclues du champ d'application de cette politique.
- Compromettre l’intégrité, la disponibilité ou la confidentialité des informations non publiques en possession de la clinique Maven.
- Ne pas supprimer/détruire immédiatement les informations sensibles ou les données personnelles auxquelles vous pourriez accéder par inadvertance.
- Divulguer publiquement toute vulnérabilité potentielle sans le consentement écrit exprès de Maven Clinic.
- Provoquer intentionnellement ou par négligence une interruption de service pour tout utilisateur autre que le chercheur.
- Exploitation de toute vulnérabilité permettant l'envoi massif de messages non sollicités ou non autorisés (spam).
- Publier, transmettre, télécharger ou créer des liens vers des logiciels malveillants, des virus ou tout autre logiciel nuisible susceptible d'affecter nos services, nos produits, nos clients ou tout autre tiers.
- Tester les sites web, applications ou services tiers qui s'intègrent à nos services ou produits.
- Recourir à l'ingénierie sociale (y compris le phishing) des employés, des sous-traitants, des clients ou de toute autre partie de Maven Clinic.
Nous demandons aux chercheurs de nous contacter avant d'entreprendre des recherches susceptibles d'être incompatibles avec la présente politique ou non couvertes par celle-ci. En cas de doute, veuillez nous consulter avant toute action qui pourrait, selon vous, enfreindre cette politique.
Signalement des vulnérabilités de sécurité potentielles
Si vous pensez avoir découvert une faille de sécurité potentielle dans un actif numérique détenu, exploité ou maintenu par Maven Clinic, ou une circonstance susceptible d'affecter la sécurité de notre entreprise ou de nos utilisateurs, nous vous encourageons à nous le signaler. Vous pouvez nous signaler les failles de sécurité potentielles en envoyant un courriel à l'adresse suivante : sécurité@mavenclinic.com Veuillez utiliser notre clé PGP facultative ci-dessous. Veuillez fournir toutes les informations connues concernant la faille de sécurité suspectée que vous signalez.
Dès réception de chaque signalement de vulnérabilité, nous accuserons réception, mènerons une enquête approfondie et prendrons ensuite les mesures appropriées pour le résoudre, le cas échéant.
Bien qu'aucun type de vulnérabilité ne soit explicitement exclu du champ d'application de cette politique, les chercheurs sont invités à prendre en compte le scénario d'attaque et l'exploitabilité associés à toute vulnérabilité de sécurité potentielle soumise.
Clé publique GPG
Si vous souhaitez chiffrer vos communications avec Maven Clinic, veuillez utiliser notre clé PGP ci-dessous. Tous les courriels relatifs à la sécurité provenant de Maven Clinic seront signés avec cette clé.
Identifiant de la clé
F1F3AC55
Type de clé
RSA
Taille de la clé
4096
Empreinte digitale
56D3 807F 2E7F ADBD 1303 9EB1 5E27 4E75 F1F3 AC55
ID de l'utilisateur
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBGFyuAIBEADoSDhufr4A7RyOHmKRExRh+52zxRtAPoPtytZcvm8ZjVODG4Nq 9ZRQetpR3j4dn4ZJbWYW2z9cfUx3PBoUTX6sW2NF43aOB9SDop4/m2omjoHMPpEp iDehvEOVxaLCzLnQ1xaBdmG44ij7GDGQpJIvRR8COzoxDX+nfa40efdMYFsjlaKJ 8MQoYUE6Z+CEOuHuCz5OFV+oqDF0u3sfiIIuF6m/glg9YWFPxYbpzB+xPq04EPwu 7daG+4eVoy/48cFMX83g3J9xI3/2ZUWv+iJSyTrxaoyVY8MmoUgSrY1PTdE9ykNF nBepG9+/eHeu72ES6lT+d3ueCNNUKb9noHl9Irxr+jF4Do1d5t5fW+ZBKgFQlBPd a0rmpmGD9+dW10tOppQMyuRDQiDXZiyZwTpae5H2b9c+BvuLrtJxFGGMCfqLOLWD rZ+5UglbJ9p+VWWefijtSMEDJl8uUe8UQtPAPlUlVXqo3rhBGPjI+jCSpbhvRWWY TIlLUeixdryS9h6aAl8GWe644hNdeepofY7yRDOXutAXTcT5sB96FCuxeZgKZMvV bvfdbezRfM+NF6R3iPjtYRodSLpCcZAvX0rT6bgS45GVlfADBVztJn5RtidfmtMi C0zJMUsISZhivMmgYoTFeog1uvaLhnW8cFuwx6O+mXM3y8g6oFYAuIa7zQARAQAB tDBNYXZlbiBDbGluaWMgU2VjdXJpdHkgPHNlY3VyaXR5QG1hdmVuY2xpbmljLmNv bT6JAlIEEwEIADwWIQRW04B/Ln+tvRMDnrFeJ0518fOsVQUCYXK4AgIbAwULCQgH AgMiAgEGFQoJCAsCBBYCAwECHgcCF4AACgkQXidOdfHzrFW9pw/+N0+0eaibYRB6 TWd6dVL0G7SUQrlWZMYQmjXoOspX/ObvvH7BQ5T/1dIZZ5iRw+pKTrzHpJFOpRxj u4LEQRZO0BFRfVb9VdwRVOaoBwGkT+eYwUYpvZRLpEfTWpOmObpTMmVJfS/v4fw6 JAgvs5G0UVXxrw1nXtAFZ4/ynYvJDbMoIU5cNqOgrP65v6gkcPJAdpQs0ZPkpC9r tltnYpe+4vTqn1Y2DuRmaGeysHncWwrRxJPyQiLS/bzGH26e3YIAQBg7E7iGjrfr 6ZGdCzwpBd2p4noX6WwWTyALdZdnri7La8nDYJzhaF0Q67BAxS5cLMgmGZKUbHFg Azn2YPIiX+2/M6FM/MLuJwGA8VR4sdD3t4JqjMbg67hoLTRJ+xQhh8iBOQ5VLI1S 4tEBMMHd+NJRp01dCKJJlc75Dl/XtjElfZoEPOjVVvTcZjVKkKBTb8buTRVQyOpa UVVjtUQ6cACxq6siyxYt0/3wlvmdUBOLoxbiVDtpSAM1vZ/wjtonK3Wl2VUWGfsq EeMrZjQxO+Ec4eBzeLcGLMJqh8xOvKKWymtLqzD3vLh4sGgclGcitWEq+jq6j4TH 45kLTHJDiWarvpg3PQaVUucnE3Hz8ZLRbAJvLJeAj4dD2d7pWBXfK/RlnxvS+oHI hMF4idZ7lqPBtEXNc5TwROyrUERFOfa5Ag0EYXK4AgEQAMQIMQsjK69rOC27odsE gERGDGR3wq/bT2rRkgyuC13MxFeW9GPJDWUiTMuOzRwtaSi4YiBXjQv6HKFU/SoO cmdiXFtYY4w9nPPI57/MbGiozrbdc5q0HhxkA9MHJ2iU3ND09Lwy0AjubFH3miwM 4IluuG5RR/Ve3Uss7APRfXcTjELpdorFBLTEU/TJVEUc5W5fvFzzDj/zP5xVHoSy JM2Ed2uK/gzZEnmdCCv8paiU6GZuukkrYIdp48+DOBIx83rHm4vgbMBvxdzgjyPq 6zEHsi4ca9uuHLGh2Z5NW1cdCSZkeVYVFhxe2Fxjzj/RDyuSb1LSzCddr4cW5GwD ZcLY6TxMztWBZzQxKarp2lFzsc0heoUuKxceYgyx8EOH8j7eSUW0wo9J9KFJH6LF 7qvxA0rnfBSezw/Ee6xUJEdM0QQB29+TmZ+/Lq/OoQTJFiYyDAVk6nb6tj/3wn7W MN9URWh9OGmrJmtIPUfK7ghVo+5M1RyZa/t8j78vkh29ZgVrmD+Y1Nluzt4w2vji dKKvQCTEcAYBulIrKe6KbCD6eI++iaAM/Hne3RnSo11GM28a9E+1HPr0K7lKN9ir jtAV3S6CzZq2uKD7cJOPv9+Cz+kcI7FS/VUc5Ri6cWcDn0ju49jUf7xQBxmWves0 wmJsk7igWilZyOV7BXmc5ZY9ABEBAAGJAjYEGAEIACAWIQRW04B/Ln+tvRMDnrFe J0518fOsVQUCYXK4AgIbDAAKCRBeJ0518fOsVYcTD/9ny9mgJWRGF1HuDJ2VeGEX sZGNGuW2prqgwq9J5jA6HMepmFYxq4ulbmQguUTKNn4z7v/XBLrZEUiWo8qmqOQK edxEtwrmAOw6Tvcq56/JKktKwP8jGjlpUQ4X6C2tj/gBFNIugBAzqzLMlbuTJqaK 1upeOlVsnSlHNJDGtbeURtf4S8xyrSYq//NIfeFNBq62ij8CN603BDPL3umOKnpq 7wjTcWbp/sFOaNxlXOc3qcjhrfHx0x7lQrmX/s1sSxdGMQWtL0+xHgOr5UELUAu3 bfl1Kf2dfYCRVltl5j0K1cl9FxwU5HOo0YSL835THauEE1uTnQHUrLZPVQdlKtdA bWeb+3R1X6MlTUCwjwEg0YEf3+fjmw/6ZNbL00G3tjKlte9HkMqGLi++L9OqWfwI pElt+qi6QfsQKsB/YkEKm0ZIQpFlJ1Or+U+jbLTY1rgU1vk7VD0LUVXf1L4kNHiP aIiFDJs39Y5rplDTymHhvSV2UndTfkL5k+E2vcxHJ1qRpeaH5ZQ2bDjSk2e8iRZL klPiSTKR+MQJr6HC9j2ixaWmkiSy/z9qq5ToZKPKDWx/s3I/SZLDNrBsvoNVaU0u dcHJeVDXJPktURJH3Pv1MlI/ee/xImbnMSgDhFLQAsLxValGJ2sy4CchocUUCwNu so/1+7vhqN/ZxbbBS+xqvA== =eurC
-----FIN DU BLOCAGE DES CLÉS PUBLIQUES PGP-----
Historique des modifications du document
Version
Date
Description
1.0
1er décembre 2021
Première émission