Responsible Disclosure

Ricash s'engage à assurer la sécurité de ses produits et services. Cette politique vise à donner aux chercheurs en sécurité des lignes directrices claires pour mener des activités de découverte de vulnérabilités et à préciser comment nous soumettre les vulnérabilités découvertes, ainsi que le délai recommandé avant toute divulgation publique.

Si vous faites un effort de bonne foi pour respecter la présente politique dans le cadre de vos recherches, nous considérerons vos recherches comme autorisées. Ricash s'engage à ne pas engager ni soutenir d'action en justice liée à vos recherches conformes à cette politique.

Dans le cadre de cette politique, une « recherche » signifie notamment :

• Nous notifier dès que possible après la découverte d'un problème de sécurité réel ou potentiel.
• N'utiliser des exploits que dans la mesure nécessaire pour confirmer l'existence d'une vulnérabilité.
• Nous laisser un délai raisonnable pour corriger le problème avant toute divulgation publique.
• Arrêter vos tests, nous notifier immédiatement et ne pas divulguer de données sensibles une fois la vulnérabilité confirmée.

Les méthodes de test suivantes ne sont pas autorisées :

• Tests de déni de service (DoS ou DDoS) ou tout test altérant l'accès à un système ou des données.
• Tests physiques (accès aux locaux, tailgating), ingénierie sociale (phishing, vishing) ou tout test de vulnérabilité non technique.
• Ingénierie sociale à l'encontre de notre personnel ou de nos prestataires.

Cette politique s'applique aux systèmes et services suivants :

• Site web principal Ricash (ri-cash.com)
• Applications web et API Ricash
• Applications mobiles client et marchand Ricash

Tout service non expressément listé ci-dessus, y compris les services de tiers connectés, est exclu du périmètre. Les vulnérabilités découvertes chez nos fournisseurs doivent être signalées directement à ces derniers. En cas de doute sur le périmètre, contactez security@ri-cash.com.

Nous acceptons les signalements de vulnérabilités via security@ri-cash.com. Les signalements peuvent être anonymes. Si vous partagez vos coordonnées, nous accuserons réception de votre rapport sous trois (3) jours ouvrés.

• Décrire l'emplacement de la vulnérabilité et l'impact potentiel d'une exploitation.
• Fournir une description détaillée des étapes pour reproduire la vulnérabilité (scripts ou captures d'écran appréciés).

Ce que vous pouvez attendre de nous :

• Accusé de réception sous trois (3) jours ouvrés.
• Confirmation de l'existence de la vulnérabilité dans la mesure du possible et transparence sur les étapes de correction.