Politique du programme de divulgation responsable
Chez Revolut, la sécurité des données de nos utilisateurs est notre priorité. Le but de cette page (le « Programme de divulgation responsable ») est de vous fournir toutes les informations dont vous avez besoin si vous avez découvert ou pensez avoir découvert une potentielle vulnérabilité dans l'un de nos services. Nous nous engageons à garantir que notre sécurité soit au premier plan et apprécions sincèrement l'aide de notre communauté pour y parvenir. Pour vous assurer que toutes les divulgations sont faites de manière responsable, veuillez vous assurer de respecter les conditions ci-dessous :
- Toutes les demandes doivent être effectuées via la plateforme Intigriti. Vous devrez vous enregistrer sur la plateforme via le lien en bas de cette page.
- Veuillez vous assurer que toutes les divulgations sont faites dès que possible. Non seulement cela nous aidera à résoudre les problèmes de sécurité en temps et en heure, mais cela vous assurera également de recevoir une récompense en premier (le cas échéant) !
- Toutes les récompenses seront sous forme de points de réputation Intigriti et seront gérées par Intigriti conformément à leurs conditions générales. Vous pourrez en savoir plus ici : https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Les divulgations publiques de vulnérabilité (par exemple, via les réseaux sociaux ou la presse) peuvent mettre notre communauté en danger. Veuillez donc garder ces informations confidentielles. Toutes les divulgations doivent être effectuées conformément au Programme de divulgation responsable afin que nous puissions nous concentrer sur la résolution de tout problème dès que possible. Nous nous réservons le droit d'intenter une action en justice ou de refuser l'attribution de récompenses si ce programme n'est pas respecté.
- Si vous découvrez une vulnérabilité et que vous vous retrouvez en possession de données personnelles concernant les clients ou les employés de Revolut, vous devez les supprimer aussitôt après avoir transmis la divulgation via le formulaire ci-dessous. Les données personnelles correspondent à toutes les informations qui peuvent être utilisées pour identifier une personne.
- Aucune des recherches que vous avez entreprises pour signaler une vulnérabilité ne doit avoir été obtenue illégalement.
Foire aux questions
- Suggestions de configuration du Sender Policy Framework (SPF), DKIM et DMARC
- Divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt)
- Divulgation de bannières sur les services communs/publics sans PoC
- Configurations d'en-tête de sécurité ou en-tête manquant
- Absence de flags sécurisés/HTTPOnly sur les cookies non sensibles - Phishing ou attaques d'ingénierie sociale
- Une fois validé(e) par Intigriti, vous recevrez des points de réputation Intigriti, comme mentionné sur cette page : https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- Vous recevrez un accusé de réception sous 72 heures. Une fois la divulgation validée, vous serez recontacté sous cinq jours ouvrés en général.
- Nous demandons à ce que toutes les informations demeurent confidentielles afin de protéger au mieux notre communauté, conformément aux conditions générales de l'outil de recherche (Researcher) d'Intigriti - https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Si vous avez d'autres questions à ce sujet, veuillez contacter Intigriti à l'adresse e-mail support@intigriti.com.