Swiss Life se réjouit de recevoir des feedbacks du grand public et de chercheurs en matière de sécurité afin de contribuer à l’amélioration de sa sécurité. Si vous pensez avoir détecté une faille, un problème de protection des données, la divulgation d’informations ou d’autres problèmes de sécurité dans l’un de nos systèmes, n’hésitez pas à nous en informer. Veuillez signaler tout incident au moyen du formulaire ci-dessous. La présente politique décrit les étapes à suivre pour nous signaler des failles, de même que ce que nous attendons de vous et ce que vous pouvez attendre de nous.
Champ d’application
La présente instruction s’applique à toutes les données numériques que Swiss Life possède, exploite ou gère. Une attention particulière est accordée aux portails web de Swiss Life en Suisse, et notamment aux domaines suivants: swisslife.ch, swisslife.com et swisslife-select.ch. Toute autre remarque est la bienvenue.
Notre engagement
Si vous collaborez avec nous conformément à la présente politique, vous pouvez vous attendre à ce que:
- nous répondions immédiatement à votre signalement;
- nous prenions au plus vite des mesures pour combler la faille de sécurité;
- nous nous efforcions de vous tenir au courant de l’évolution de la situation;
- nous traitions votre signalement et vos données personnelles de manière strictement confidentielle;
- nous ne restreignions pas votre accès à nos portails web;
- nous respections notre Vulnerability Disclosure Policy.
Nos prévisions
Si vous avez de bonnes intentions et souhaitez nous aider à identifier nos failles de sécurité, n’hésitez pas à nous contacter:
- Respectez les règles, y compris la présente politique et tous les autres accords applicables. En cas de contradiction entre la présente politique et d’autres conditions applicables, les conditions de la présente politique prévalent.
- Abstenez-vous de porter atteinte à la vie privée d’autrui (ingénierie sociale, hameçonnage et spams à proscrire).
- Abstenez-vous d’interférer avec nos systèmes et/ou d’interférer avec l’expérience utilisateur et utilisatrice (p. ex. pas de DDoS).
- Il est interdit d’espionner, de modifier, de télécharger, de supprimer ou de transmettre des données.
- Utilisez uniquement les canaux officiels pour discuter avec nous des informations sur les failles.
- Accordez-nous un délai raisonnable (au moins 90 jours à compter de la première notification) pour résoudre le problème avant de le rendre public.
- Effectuez des tests uniquement sur les systèmes se trouvant dans le champ d’application (voir ci-dessus) et respectez les systèmes et activités hors du champ d’application.
- Arrêtez immédiatement le test et envoyez un rapport lorsque vous avez accès à des données personnelles au sens de la loi fédérale sur la protection des données (LPD).
- N’utilisez que les données d’accès qui vous appartiennent ou dont l’utilisation a fait l’objet d’une autorisation expresse de la part du titulaire du compte.
Contenu de votre signalement
Le rapport que vous nous envoyez doit contenir les informations suivantes:
- Type de faille
- Description de la faille (y c. navigateur utilisé et, le cas échéant, paramètres du navigateur)
- Exemple (Request ou code PoC univoque)
- Informations suffisantes pour que le problème puisse être reproduit et analysé
- Idéalement, instruction étape par étape
- Les captures d’écran sont les bienvenues
- La présentation d’une possibilité de solution est la bienvenue
- Coordonnées pour offrir la possibilité de prendre contact en cas de questions
Exemples de signalement:
- Cross scripting (XSS) vulnerabilities
- SQL injection vulnerabilities
- Encryption vulnerabilities
- Cross Site Request Forgery (CSRF)
- Insecure Direct Object Reference
- Remote Code Execution (RCE) – Injection Flaws
- Possibilité d’exfiltration de données/informations
- Portes dérobées (backdoors) pouvant être exploitées activement
- Possibilité d’utilisation non autorisée du système
A ne pas signaler:
- Rapports d’outils automatisés ou de scans sans documentation explicative
- Signalement de l’absence d’une fonction de sécurité sans possibilité d’exploitation
- Divulgation d’informations non sensibles
Vulnerability Disclosure Policy
- autorisées en vertu des lois anti-piratage applicables et nous n’intenterons ni ne soutiendrons aucune action en justice contre vous en cas de violation accidentelle et de bonne foi de ces lois.
- autorisées en vertu des lois anti-contournement pertinentes et nous ne ferons aucune réclamation contre vous pour contournement des contrôles technologiques.
- des exceptions aux restrictions de nos Conditions d’utilisation, lesquelles nuiraient à la réalisation de recherches sur la sécurité. Nous renonçons à ces restrictions dans une mesure limitée.
- légales, utiles pour la sécurité globale d’Internet et effectuées de bonne foi.
Comme toujours, nous attendons de vous que vous respectiez toutes les lois en vigueur. Si une action en justice est intentée contre vous par un tiers et que vous avez respecté la présente politique, nous prendrons des mesures pour informer que vos actions ont été menées conformément à la présente politique. Si, à un quelconque moment, vous avez des doutes ou n’êtes pas sûr(e) que vos recherches sur la sécurité soient conformes à la présente politique, veuillez soumettre un rapport sur l’un de nos canaux officiels avant de continuer. Veuillez noter que la Vulnerability Disclosure Policy ne s’applique qu’aux actions placées sous le contrôle de l’organisation qui participe à la présente politique et que ladite politique n’engage aucun tiers indépendant.