Programme Bug Bounty - KNAPP AG

La sécurité de nos systèmes est la priorité absolue chez KNAPP. Malgré tous nos efforts, il peut toujours rester des vulnérabilités. Si vous détectez une vulnérabilité, nous vous demandons de nous la communiquer pour que nous puissions l’éliminer le plus vite possible et garantir la protection de nos systèmes et ceux de nos clients.

Prime sur la base du risque de la vulnérabilité :

  • Risque minimal : jusqu’à 100,00 €
  • Risque moyen : jusqu’à 250,00 €
  • Risque élevé : jusqu’à 500,00 €
  • Risque critique : jusqu’à 1 000,00 €

Périmètre du programme :
Les suivants services de KNAPP et leurs domaines sont couverts par ce programme :
knapp.com
*.knapp.com

Non compris dans le périmètre :
Tous les domaines et services qui ne sont pas mentionnés ci-dessus explicitement et les attaques suivantes sont exclus du périmètre (out-of-scope). Ils ne sont pas éligibles et ne sont pas couverts par la sphère de sécurité (Safe Harbor) :

  • Attaques à la sécurité physique de KNAPP
  • Ingénierie sociale
  • DoS/DDoS
  • Spam & phishing
  • Utilisation d’outils automatisés comme par exemple les scanners de vulnérabilité
  • Utilisation d’outils pour l’énumération des domaines
  • Toutes les activités outrepassant la démonstration du vecteur d’attaque, par exemple une élévation de privilèges après un accès réussi au serveur
  • Exfiltration de données, modification de données ou destruction de données

Sphère de sécurité pour chercheur en sécurité
Les activités de hacking respectant les règles et conditions indiquées sont considérées comme des actions autorisées. KNAPP n’intentera pas d’action en justice contre vous, si vous contournez nos mesures de protection techniques des services et des systèmes listés dans le « périmètre du programme ». Certaines actions (par ex. la destruction des fichiers ou des DDoS) seront cependant considérées comme des infractions poursuivies d’office selon le Code pénal autrichien, même si elles n’ont d’effets que sur nos propres systèmes. Vérifiez s’il vous plaît que vous respectiez le Code pénal autrichien.

Ce que nous promettons :
Votre message sera traité de manière confidentielle et vos données personnelles ne seront pas communiquées à des tiers sans votre autorisation. Nous vous informerons des progrès lors de l’élimination des vulnérabilités et nous vous remercierons de votre aide sous forme de récompense. Une condition préalable est que le contenu de votre message soit nouveau pour nous.

Ce que vous promettez :
Si vous détectez une vulnérabilité, vous rédigez un rapport précis et détaillé avec des étapes de reproduction précises. De préférence, une personne non experte en informatique comprend également le rapport. Vous promettez de ne transmettre aucune information sur votre signalement à aucun moment à des tiers et vous ne pouvez utiliser vos découvertes qu’à des fins de démonstration. Toute autre utilisation est interdite. Votre rapport ne doit pas contenir de conditions, de réclamations, de menaces ni de rançons. Assurez-vous de suivre les codes de déontologie publiés par EC-Council (https://www.eccouncil.org/code-of-ethics/).

Chercheur en sécurité
Toute personne prenant part au programme Bug Bounty et respectant ces règles et ces conditions de base sera classée comme « chercheur en sécurité ». Seul un « chercheur en sécurité » peut être récompensé. En participant au programme vous confirmez avoir au moins 18 ans ou avoir la permission de vos parents/responsables légaux. Pour être classé comme « chercheur en sécurité » vous ne devez pas être employé par KNAPP ou avoir travaillé chez KNAPP pendant les six derniers mois. Respectez les lois existantes et n’effectuez pas d’activités illégales.

Rapport de vulnérabilité
Le rapport de vulnérabilité est une description résumée des failles de sécurité que vous avez découvertes ou des vulnérabilités détectées. Le rapport doit être le premier concernant la vulnérabilité concernée et il doit être complet. Si deux rapports de vulnérabilité concernant la même vulnérabilité sont éligibles pour une récompense, seul le premier rapport arrivant sur notre site sera récompensé (first come first serve).

Un rapport de vulnérabilité est considéré comme complet si l’erreur peut être reproduite et si les effets potentiels peuvent être mesurés. En outre, il doit décrire quels services sont concernés, comment reproduire le problème et contenir (si identifiable) l’identifiant CVE pour la faille de sécurité et sa description.

Évaluation des rapports
L’évaluation du rapport de vulnérabilité sera effectuée uniquement par KNAPP en nous basant sur le système CVSS (Common Vulnerability Scoring System), un ensemble de normes ouvertes pour attribuer un nombre à une vulnérabilité afin d’en évaluer la gravité.

Données à caractère personnel
En participant au programme Bug Bounty de KNAPP, vous autorisez le traitement de vos données à caractère personnel conformément à l’article 6, paragraphe 1, alinéa a du Règlement Général sur la Protection des Données, dès que vous envoyez votre rapport de vulnérabilités à KNAPP ou que vous vous adressez à KNAPP. Si votre rapport est pris en compte pour une récompense, KNAPP doit traiter les données à caractère personnel nécessaires (c’est-à-dire votre nom, vos coordonnées bancaires, etc.) pour pouvoir vous transférer la récompense offerte (article 6, paragraphe 1, alinéa b du RGPD). Vos données à caractère personnel ne seront enregistrées que tant que ceci sera nécessaire pour remplir les obligations légales et à des fins mentionnées ci-dessus. Vos données personnelles ne seront pas confiées à des tiers sans votre consentement. La prise de décision ne s’effectue pas de manière automatisée. Pour plus d’informations sur la protection des données et comment faire valoir vos droits en tant que personne concernée, consultez le lien suivant : https://www.knapp.com/fr/home/declaration-de-protection-des-donnees/.