Politique de sécurité
1. Divulgation de vulnérabilités
Nous prenons la sécurité de ZeFile au sérieux. Si vous découvrez une vulnérabilité, nous souhaitons en être informés afin de pouvoir la corriger rapidement et protéger nos utilisateurs. Cette politique décrit comment signaler les problèmes de sécurité et ce que vous pouvez attendre de notre part.
2. Périmètre
ZeFile est conçu avec la sécurité au cœur de son architecture. Voici ce que nous protégeons : - Chiffrement des fichiers : Tous les fichiers sont chiffrés pendant le transfert et au repos, garantissant la confidentialité de vos données de l'envoi au téléchargement. - Distribution via CDN : Les fichiers sont distribués via notre réseau de diffusion de contenu, ajoutant une couche de protection supplémentaire entre le stockage et les utilisateurs. - Transferts protégés par mot de passe : Les expéditeurs peuvent verrouiller leurs transferts avec un mot de passe, pour que seuls les destinataires prévus puissent accéder aux fichiers. - Détection précoce des menaces : Nous surveillons activement les activités suspectes et les schémas d'accès inhabituels pour détecter les problèmes potentiels avant qu'ils ne s'aggravent. - Prévention des violations : Notre infrastructure est conçue pour limiter l'exposition, avec des contrôles d'accès stricts et des services isolés pour réduire l'impact de tout point de défaillance.
3. Hors périmètre
Les éléments suivants sont hors périmètre : - Les services tiers opérés par nos partenaires - Les attaques d'ingénierie sociale contre les employés ou utilisateurs de ZeFile - Les attaques par déni de service (DoS/DDoS) - Les attaques physiques contre l'infrastructure de ZeFile - Les scans automatisés générant un trafic excessif
4. Règles de conduite
Lors de vos recherches, veuillez respecter les règles suivantes : - Ne pas accéder, modifier ou supprimer les données d'autres utilisateurs - Ne pas effectuer de tests destructifs sur les systèmes de production - Ne pas exploiter les vulnérabilités au-delà d'une preuve de concept minimale - Signaler les découvertes rapidement et ne pas les divulguer publiquement avant que nous ayons eu l'occasion de les corriger - Utiliser des comptes de test que vous avez créés vous-même
5. Comment signaler
Envoyez vos découvertes à [email protected]. Veuillez inclure : - Une description claire de la vulnérabilité - Les étapes détaillées pour reproduire le problème - L'impact potentiel de la vulnérabilité - Toute capture d'écran ou code de preuve de concept Vous pouvez chiffrer votre rapport avec notre clé PGP (disponible sur demande).
6. Délais de réponse
Voici ce que vous pouvez attendre après l'envoi d'un signalement : - Accusé de réception : sous 48 heures - Évaluation initiale : sous 5 jours ouvrables - Objectif de résolution : sous 30 jours (selon la gravité) Nous vous tiendrons informé de notre progression et vous avertirons lorsque le problème sera résolu.
7. Protection juridique
Nous ne prendrons aucune action en justice contre les chercheurs en sécurité qui : - Agissent de bonne foi et respectent cette politique - Évitent les violations de la vie privée, la destruction de données et les interruptions de service - Nous signalent les vulnérabilités avant de les divulguer publiquement Nous considérons la recherche en sécurité menée conformément à cette politique comme autorisée et ne poursuivrons pas de recours juridique.
8. Questions
Si vous avez des questions sur cette politique ou si vous devez signaler un problème de sécurité, contactez-nous à [email protected].