Politique de divulgation des vulnérabilités/divulgation responsable

Chez Choice Hotels International, nous apprécions et encourageons les chercheurs en sécurité à nous contacter pour signaler toutes les potentielles vulnérabilités identifiées concernant un produit, un système ou un actif nous appartenant. À cet effet, nous avons mis en place une Politique de divulgation responsable, également appelée Politique de divulgation des vulnérabilités. Nous affinerons et réviserons au fur et à mesure cette politique ; veuillez vérifier les mises à jour ici.

 


Message spécial à la Communauté de chercheurs en sécurité/personnes signalant des vulnérabilités

Nous vous remercions par avance de nous informer de potentielles lacunes dans notre sécurité. Nous apprécions beaucoup ceux d'entre vous qui qui nous aident à corriger les vulnérabilités afin de garantir le moindre impact et risque pour les communautés de nos parties prenantes, et en soutien, nous avons établi une politique de divulgation responsable/divulgation des vulnérabilités.


Action en justice

Nous n’engagerons aucune procédure ni aucune réclamation pour l’exécution de la loi à l’encontre du chercheur/découvreur agissant en toute bonne foi. Toutefois, Choice Hotels International se réserve tous les droits légaux dans le cas d’une non-conformité aux Directives pour agir en toute bonne foi suivantes.

 

Récompense

Veuillez noter que Choice Hotels International ne propose pas actuellement de programme de « prime au bug » et nous n’offrons par extension aucune rémunération/récompense ni reconnaissance publique pour la soumission de potentielles vulnérabilités.

 

Directives pour agir en toute bonne foi

Afin de promouvoir la découverte et le signalement de vulnérabilités, nous vous demandons de :

  • faire preuve de respect envers nos applications existantes ; agir pour empêcher les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de nos services (y compris le déni de service) ;
  • ne pas accéder à nos données ni à celles de nos parties prenantes, ni de les modifier ;
  • nous contacter immédiatement si vous identifiez les données d’une partie prenante. ne pas afficher, altérer, détruire, enregistrer, partager, stocker, transférer ni accéder à ou mettre en danger les données ; veuillez éliminer toutes les informations locales lorsque vous nous signalez la vulnérabilité ;
  • si des informations personnelles (par ex., les noms, adresses, adresses électroniques, numéros de compte de fidélité, identifiants uniques, numéros de carte de crédit) sont trouvées, veuillez cesser toute activité et immédiatement contacter Choice Hotels International.
  • ne pas générer de transactions financières frauduleuses ;
  • ne pas participer à une activité qui enfreint a) les lois ou réglementations nationales, régionales ou internationales, ou b) les lois ou réglementations d’un pays où i) des actifs, des données ou des systèmes résident, ii) le trafic des données est routé, iii) le chercher réalise une activité de recherche, ou iv) les personnes concernées résident ;
  • nous faire part du problème de sécurité et/ou de respect de la vie privée.
 

Processus de divulgation des vulnérabilités/divulgation responsable : Comment soumettre une vulnérabilité

Afin de divulguer une potentielle vulnérabilité, veuillez envoyer un e-mail aux Équipes de sécurité informatique et de respect de la vie privée : responsibledisclosure@choicehotels.com.

 

Format de soumission

Lors du signalement d’une potentielle vulnérabilité, veuillez inclure une description détaillée de la vulnérabilité : outils utilisés, objectif, processus et résultats. Veuillez justifier vos résultats en joignant tous les documents pertinents utilisés pour la découverte. Même si ce n’est pas obligatoire pour l’examen et la validation/vérification de la vulnérabilité, si vous avez des informations sur la résolution de la vulnérabilité, veuillez partager la résolution que vous proposez.

 

Accusé de réception et réponse

Lorsqu’un signalement est reçu par l’équipe de sécurité informatique, un accusé de réception est envoyé en réponse à l’expéditeur dans un délai de cinq jours ouvrés. Une demande ultérieure pour obtenir des informations supplémentaires sera envoyée, si nécessaire. Après validation/vérification d’une vulnérabilité, une réponse de suivi sera envoyée à l’expéditeur.

 

Délais

Choice Hotels International ne négociera pas en réponse à une menace (par ex., nous ne négocierons pas sous la menace de retenue d’informations ou la menace de communication de la vulnérabilité au public). Cela étant dit, nous consacrons nos ressources à notre travail avec vous et vous demandons de nous accorder un délai raisonnable pour la validation/vérification et la résolution de la vulnérabilité avant de la rendre publique.

 

Signalement d’une vulnérabilité externe

Le signalement d’informations sur la vulnérabilité à d’autres tiers/fournisseurs relèvera de la discrétion de Choice Hotels International.

 

Hors cadre

Une soumission dans le cadre de la Politique de divulgation responsable ne porte pas sur les éléments suivants. Les vulnérabilités hors cadre comprennent :

  • l’ingénierie sociale comme des tentatives de vol de cookies, des fausses pages de connexion pour collecter des identifiants de connexion et l’hameçonnage ;
  • les attaques sur l’épuisement des ressources ;
  • les essais pratiques ;
  • les attaques de déni de service.

Retour au début