Divulgation responsable

Wave Mobile Money s’engage à garantir la sécurité de ses produits et services. Cette politique vise à fournir aux chercheurs en sécurité des lignes directrices claires pour la découverte de vulnérabilités et à communiquer nos préférences concernant la manière de nous soumettre les vulnérabilités découvertes.

Cette politique décrit les systèmes et types de recherche couverts, la manière de nous envoyer des rapports de vulnérabilités, ainsi que le délai que nous demandons aux chercheurs en sécurité de respecter avant toute divulgation publique de vulnérabilités.

Autorisation & Safe Harbor

Si vous faites un effort de bonne foi pour respecter cette déclaration dans le cadre de vos recherches en sécurité, nous considérerons votre recherche comme autorisée, et Wave s’engage à ne pas engager ni soutenir d’action en justice liée à votre recherche.

Lignes directrices

Dans le cadre de cette politique, la « recherche » désigne des activités de sécurité au cours desquelles vous :

• Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
• N’utilisez des exploits que dans la mesure nécessaire pour confirmer l’existence d’une vulnérabilité.
• Nous accordez un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
• Une fois que vous avez établi l’existence d’une vulnérabilité ou identifié des données sensibles exposées, vous devez arrêter votre test, nous en informer immédiatement et ne divulguer ces données à personne.

Restrictions

Les méthodes de test suivantes ne sont pas autorisées :

• Tests de déni de service (DoS ou DDoS) ou autres tests qui dégradent l’accès à un système ou endommagent un système ou des données
• Tests physiques (ex. : accès aux bureaux, portes laissées ouvertes, « tailgating »), ingénierie sociale (ex. : phishing, vishing) ou tout autre test de vulnérabilité non technique
• Ingénierie sociale (y compris le phishing) visant nos employés ou sous-traitants

Périmètre

Cette politique s’applique aux systèmes et services suivants :

• Site web principal de Wave (https://www.wave.com)
• Applications web
• Applications mobiles et marchands

Tout service non explicitement listé ci-dessus, y compris les services connectés, est exclu du périmètre et n’est pas autorisé au test. De plus, les vulnérabilités découvertes dans les systèmes de nos prestataires sont hors du champ de cette politique et doivent être signalées directement au prestataire conformément à sa politique de divulgation (le cas échéant). Si vous n’êtes pas certain qu’un système soit dans le périmètre, contactez-nous à l’adresse security@wave.com.

Signaler une vulnérabilité

Nous acceptons les signalements de vulnérabilités via security@wave.com. Les rapports peuvent être soumis anonymement. Si vous partagez vos coordonnées, nous accuserons réception de votre signalement sous 3 jours ouvrés.

Si votre rapport contient des données sensibles, veuillez utiliser la clé GPG publique fournie ci-dessous pour chiffrer et nous envoyer vos conclusions par e-mail.

Chiffrement : https://www.wave.com/security/wave.pgp.txt
Signature : https://www.wave.com/security/wave_security.txt.sig.txt

Ce que nous aimerions recevoir de votre part

• Décrire l’emplacement où la vulnérabilité a été découverte ainsi que l’impact potentiel de son exploitation.
• Fournir une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts de preuve de concept ou les captures d’écran sont utiles).

Ce que vous pouvez attendre de notre part

• Sous 3 jours ouvrés, nous accuserons réception de votre signalement.
• Dans la mesure du possible, nous confirmerons l’existence de la vulnérabilité et ferons preuve de la plus grande transparence concernant les étapes de remédiation, y compris tout problème ou difficulté susceptible de retarder la résolution.