Politique de sphère de sécurité (safe harbor)
Dernière modification : 29 septembre 2022
Résumé
- Nous (Proton AG, domiciliée Route de la Galaise 32, 1228 Plan-les-Ouates, Suisse) souhaitons que vous divulguiez les vulnérabilités de manière responsable par le biais du programme de bug bounty de Proton et de la politique de divulgation des vulnérabilités. Nous ne voulons pas que les chercheurs s'inquiètent de conséquences juridiques lorsqu'ils tentent de bonne foi de détecter des bugs et des vulnérabilités. Nous ne pouvons engager aucun tiers ; ne présumez donc pas que cette protection s'étend à toute action à l'encontre un tiers, y compris liée des recherches de sécurité menées de bonne foi. En cas de doute, veuillez nous contacter avant de vous livrer à une quelconque action dont vous pensez qu'elle pourrait dépasser le cadre de cette politique.
- Parce que les informations d'identification et les informations non nominatives peuvent mettre un chercheur en danger, nous limitons les informations que nous partageons avec des tiers. Nous pouvons fournir à un tiers concerné des informations de fond non nominatives issues de votre rapport, mais seulement après vous en avoir informé et avoir reçu un engagement écrit et contraignant que le tiers n'engagera pas de poursuites judiciaires contre vous. Nous ne partagerons d'informations d'identification (nom, adresse e-mail, numéro de téléphone, etc.) avec un tiers que si vous nous en donnez l'autorisation écrite.
- Si vos recherches de sécurité menées de bonne foi dans le cadre du programme de bug bounty de Proton enfreignent certaines restrictions de nos politiques relatives au site Internet, les conditions de la sphère de sécurité autorisent une exemption limitée.
Cette section garantit que les chercheurs en sécurité sont à l'abri de toute poursuite lorsqu'ils agissent de bonne foi et respectent les règles de ce programme.
- Proton n'intentera aucunes poursuites au civil et ne déposera aucune plainte pénale contre les participants pour des violations ou des atteintes accidentelles aux droits de Proton commises dans le respect de cette politique.
- Proton interprète les activités des participants qui se conforment à cette politique comme un accès autorisé en vertu du Code pénal suisse. Ceci inclut les articles 143, 143bis et 144bis du Code pénal suisse.
- Proton n'intentera aucunes poursuites au civil et ne déposera aucune plainte pénale contre les participants qui tentent de contourner les mesures de sécurité déployées afin de protéger les services couverts par ce programme.
- Le non-respect de cette politique peut entraîner l'exclusion du programme. En cas d'infraction mineure, un avertissement pourra être émis. En cas d'infraction grave, les organisateurs se réservent le droit d'intenter des poursuites au civil et/ou de déposer une plainte pénale.
- Si une action en justice est intentée par un tiers contre un participant et que le participant a respecté cette politique, Proton prendra les mesures nécessaires pour faire savoir aux autorités compétentes que les actions de ce participant ont été menées dans le respect de cette politique.
Vous avez des questions ?
Vous pouvez envoyer vos questions à security@proton.me. Nous encourageons les chercheurs en sécurité à nous contacter pour toute précision.
En cas de divergence entre la version anglaise des présentes Conditions et toute version traduite, la version anglaise prévaut.
Nous vous invitons à nous contacter avant de commencer les tests en cas de doute sur la compatibilité ou la non-conformité d'une méthode de test spécifique avec cette politique. Nous invitons aussi les chercheurs en sécurité à nous contacter avec des suggestions pour améliorer cette politique.