Explications

Nous considérons que la sûreté et la sécurité de nos partenaires et de nos clients est l’une de nos principales priorités et devraient tout en œuvre pour assurer la meilleure qualité de service et le plus haut niveau de sécurité dans nos produits, dès leur conception. Cependant, malgré tous nos efforts, des vulnérabilités peuvent encore être présentes.

C’est pourquoi Planning-Medical.com se dote d’une politique de divulgation de vulnérabilités. Cette politique explicite les modalités de communication relatives à la déclaration de vulnérabilités potentielles affectant ses services, ainsi que la méthode de traitement de ces déclarations. Planning-Medical.com vous remercie pour votre contribution à la sécurité du plus grand nombre.

Comment déclarer une potentielle faille de sécurité ?

Pour toute déclaration de vulnérabilité, merci de nous adresser un message via le formulaire dédié : « Déclarer une faille de sécurité ». Afin de faciliter la prise en charge et l’identification de la vulnérabilité, merci d’inclure le maximum d’informations disponibles (contexte, étapes de reproduction, impact observé, etc.).

Pour des raisons de sécurité, tous nos échanges ultérieurs se feront de manière chiffrée au moyen de PGP.

Pour nous adresser des communications chiffrées, vous pouvez utiliser notre clef publique.

Le traitement de votre déclaration

À la suite de votre déclaration, nos équipes analyseront les informations fournies dans les plus brefs délais afin de confirmer la qualification de vulnérabilité. Vous serez recontacté uniquement si des informations complémentaires s’avèrent nécessaires.

De plus :

• Aucune rémunération n’est prévue dans le cadre de ce programme, et cela, même si la faille de vulnérabilité est avérée ;
• Pour des raisons de sécurité, aucune publication des failles et de leur résolution ne sera faite. Planning-Medical.com reste seul juge de la classification de la vulnérabilité, de la catégorisation du risque qui en découle, ainsi que des modalités et délais de résolution.

Tous ces éléments relèvent de la seule discrétion de Planning-Medical.com.

Exigences en matière de divulgation

En soumettant à Planning-Medical.com votre déclaration de vulnérabilité, vous êtes tenu de :

• vous conformer aux lois applicables ;
• ne pas effectuer d’attaques par déni de service ou par épuisement des ressources ;
• utiliser les systèmes de Planning-Medical.com sans but de nuire à ses clients, à ses employés ou à ses tiers ;
• n’utiliser, ne modifier, ou n’effacer aucune donnée à laquelle vous pourriez accéder en exploitant ladite vulnérabilité ;
• ne pas effectuer d’ingénierie sociale, de spam ou d’attaques de phishing à l’encontre des employés de Planning-Medical.com ou de ses tiers de confiance ;
• ne pas tester la sécurité physique des biens de Planning-Services.fr ou de ses tiers ;
• ne pas divulguer les informations relatives à cette déclaration, la vulnérabilité signalée, ni le fait qu’une vulnérabilité a été signalée à Planning-Medical.com.

Cet engagement de non-divulgation s’applique indépendamment du fait que Planning-Medical.com ait eu connaissance ou non de l’information préalablement.

Tous les aspects de ce processus sont sujets à modification sans préavis.

La déclaration d’une vulnérabilité ne vous confère aucun droit de propriété intellectuelle sur des actifs appartenant à Planning-Services.fr ou à un de ses tiers.

Périmètre

Le présent dispositif de déclaration de vulnérabilités s’applique exclusivement aux services et applications exploités par Planning-Medical.com et/ou Planning-Services.fr, à l’exclusion des systèmes et services de tiers qui restent sous la responsabilité de leurs propriétaires respectifs.
Tous tests ou recherches de vulnérabilité réalisés en dehors de ce périmètre sont considérés comme hors du cadre de cette politique.

À titre indicatif, entre notamment dans le périmètre :

• Les applications et services web publics édités par Planning-Medical.com / Planning-Services.fr.
• Les interfaces et fonctionnalités destinées aux utilisateurs finaux (clients, partenaires, professionnels de santé) accessibles via Internet.

Hors périmètre

Sont notamment hors limites et interdits dans le cadre de cette politique :

• Les systèmes ou domaines n’appartenant pas à Planning-Medical.com ou Planning-Services.fr (y compris les prestataires, partenaires et sous-traitants) ;
• Les réseaux internes, postes de travail, infrastructures physiques ou tout système non exposé publiquement sur Internet ;
• Les tests pouvant entraîner une indisponibilité de service (attaque par déni de service, épuisement de ressources, scans agressifs ou fortement automatisés…) ;
• Toute action d’ingénierie sociale, de phishing, de spam ou de manipulation visant les utilisateurs, clients, employés ou partenaires.

En cas de doute sur l’inclusion d’un service ou d’une application dans le périmètre de cette politique, vous devez vous abstenir de tout test jusqu’à l’obtention d’une confirmation explicite de Planning-Medical.com.