Conditions et polices
Déclaration de divulgation responsable de Catawiki

Nous vous remercions d'avoir pris le temps de participer à notre Programme de divulgation responsable. 

Chez Catawiki, nous accordons une très grande importance à la sécurité de nos systèmes. La sécurité joue un rôle essentiel dans le développement et la mise à disposition de nos services.

Vous trouverez ci-dessous nos consignes pour soumettre à Catawiki des rapports de bugs de qualité, qui nous permettront de les traiter efficacement.

Les ressources que nous contrôlons comprennent https://www.catawiki.com ou les pages découlant de la connexion au marché en ligne https://www.catawiki.com. Cela exclut les applications tierces que nous utilisons mais sur lesquelles nous n'avons pas un contrôle direct. Par exemple, tout site web de blogging, d'offres d'emploi ou de marketing qui n'est pas hébergé sur le domaine Catawiki, Google Cloud Platform (GCP), ou toute vulnérabilité liée à une plateforme cloud.


Ce que nous attendons de vous

  • Veuillez soumettre les vulnérabilités avec leurs scores CVE, le cas échéant, qui sont applicables à notre site web, ainsi que la manière dont elles pourraient être exploitées
  • N'hésitez pas à inclure dans votre rapport des vidéos et des photos, elles seront très appréciées !
  • Fournissez des exemples montrant comment des fichiers malveillants pourraient être téléchargés sur notre plateforme.
  • Signalez les ports ou services réseau présentant des vulnérabilités.
  • Signalez les vulnérabilités où la validation, qu'il s'agisse de CSRF ou autre, échoue, permettant ainsi de contourner les contrôles de sécurité


Ce que vous ne devez pas faire

  • Merci de ne pas soumettre de vulnérabilités détectées par des outils ou scanners tiers sans inclure une preuve de concept démontrant une exploitation effective.
  • Merci de ne pas rapporter des vulnérabilités de mots de passe exploitées par force brute, attaques par dictionnaire, ou d'autres méthodes de devinette de mots de passe.
  • Merci de vous abstenir de tenter des attaques DDoS ou d'autres formes d'attaques visant à épuiser les ressources.
  • Veuillez éviter les tentatives d'attaques par spam, à moins qu'une vulnérabilité ne facilite l'envoi de spam.
  • Merci de ne pas signaler de vulnérabilités liées à la vérification des comptes ou à la politique des mots de passe.
  • Merci de ne pas rapporter de vulnérabilités liées à une attaque de type Self-XSS.
  • Merci de ne pas signaler de vulnérabilités liées à l'absence d'enregistrement d'autorisation de l'Autorité de certification (CAA) pour un nom de domaine de Catawiki

Si vous enfreignez notre code de conduite énoncé ci-dessus, veuillez noter que Catawiki se réserve le droit d'engager des poursuites judiciaires à votre encontre. Le présent code de conduite pour la notification des failles de sécurité chez Catawiki est soumis à la loi néerlandaise.

En outre, veuillez vous abstenir d'utiliser la plateforme BugCrowd pour toute question ou plainte liée aux services de Catawiki ou au matériel des utilisateurs sur la plateforme. Pour toute question ou réclamation qui ne concerne pas la vulnérabilité de la sécurité de nos systèmes, nous vous encourageons à explorer plus en détail notre Centre d'aide et à contacter nos équipes de Service client si nécessaire.

Si vous souhaitez participer à notre programme de divulgation responsable, veuillez vous connecter ou créer un compte de hacker sur BugCrowd.


Protection des données

Le Programme de divulgation responsable est soumis à la Politique de confidentialité de Catawiki. Cependant, veuillez noter que seules des données personnelles limitées seront traitées pour les rapports que vous soumettez. Catawiki utilise BugCrowd pour simplifier le signalement des vulnérabilités, une démarche que vous pouvez effectuer en utilisant vos identifiants BugCrowd. Si vous possédez un compte, Catawiki pourra visualiser votre nom d'utilisateur, mais aucune autre donnée personnelle liée à votre compte ne sera accessible. Les données incluses dans un rapport de vulnérabilité seront traitées dans notre système interne de gestion des tickets et seront accessibles à notre équipe de sécurité ainsi qu'aux autres membres du personnel technique concernés. 

Cet article vous a-t-il été utile ?
Contactez-nous