Programme Bug Bounty - KNAPP AG

Sphère de sécurité pour chercheur en sécurité
Les activités de hacking respectant les règles et conditions indiquées sont considérées comme des actions autorisées. KNAPP n’intentera pas d’action en justice contre vous, si vous contournez nos mesures de protection techniques des services et des systèmes listés dans le « périmètre du programme ». Certaines actions (par exemple la destruction des fichiers ou des DDoS) seront cependant considérées comme des infractions poursuivies d’office selon le Code pénal autrichien, même si elles n’ont d’effets que sur nos propres systèmes. Vérifiez s’il vous plaît que vous respectez le Code pénal autrichien.

Ce que nous promettons :
Nous traiterons votre signalement de manière strictement confidentielle et vos données personnelles ne seront pas communiquées à des tiers sans votre autorisation. Nous vous informerons des progrès lors de l’élimination des vulnérabilités et nous vous remercierons de votre aide par une récompense. Il faut pour cela que les exigences de qualité soient remplies et que le contenu de votre signalement soit nouveau pour nous.

KNAPP s’efforce de fournir des réponses et des mises à jour rapidement concernant une éventuelle rémunération.  Nous ne pouvons cependant pas garantir une réponse individuelle, notamment pour les rapports qui sont hors du champ d’application, les doublons ou les signalements qui ne correspondent pas aux exigences de qualité. Il n’existe aucun droit légal à une réponse, une évaluation ou un paiement.

Ce que vous promettez :
Si vous détectez une vulnérabilité, vous rédigerez un rapport précis et détaillé avec des étapes de reproduction précises. Il serait idéal que votre rapport soit également compréhensible pour des non-spécialistes. Vous promettez de ne transmettre aucune information sur votre signalement à aucun moment à des tiers et vous ne pourrez utiliser vos découvertes qu’à des fins de démonstration. Toute autre utilisation est interdite. Votre rapport ne doit contenir aucune condition, réclamation, menace ou demande de rançon. Assurez-vous de suivre les codes de déontologie publiés par EC-Council (https://www.eccouncil.org/code-of-ethics/).

KNAPP n’évaluera que les rapports qui remplissent nos exigences en matière de qualité et qui doivent donc contenir une analyse technique propre (notamment la ressource concernée, les étapes de reproduction, le comportement attendu et observé, l’évaluation d’impact). Les textes manifestement génériques ou générés exclusivement par l’IA sans valeur ajoutée technique propre peuvent être clôturés sans réponse individuelle. Il n’existe aucun droit d’indemnisation dans ces cas.

Chercheur en sécurité
Toute personne participant au programme Bug Bounty et respectant ces règles et ces conditions de base sera classée comme « chercheur en sécurité ». Seul un « chercheur en sécurité » peut être récompensé. En participant au programme, vous confirmez avoir au moins 18 ans ou avoir la permission de vos parents/responsables légaux. Pour être classé comme « chercheur en sécurité », vous ne devez pas être employé par KNAPP ou avoir travaillé chez KNAPP pendant les six derniers mois. Respectez les lois existantes et n’effectuez pas d’activités illégales.

Rapport de vulnérabilité
Le rapport de vulnérabilité est une description résumée des failles de sécurité que vous avez découvertes ou des vulnérabilités détectées. Le rapport doit être le premier concernant la vulnérabilité concernée et il doit être complet. Si deux rapports de vulnérabilité concernant la même vulnérabilité sont éligibles pour une récompense, seul le premier rapport arrivant sur notre site sera récompensé (first come first serve).

Un rapport de vulnérabilité est considéré comme complet si l’erreur peut être reproduite et si les effets potentiels peuvent être mesurés. En outre, il doit décrire les services concernés, comment nous pouvons reproduire le problème et contenir (si identifiable) l’identifiant CVE pour la faille de sécurité et sa description. Les rapports manifestement génériques ou générés par l’IA sont exclus du programme Bug Bounty.

Évaluation des rapports

L’évaluation du rapport sera effectuée uniquement par KNAPP en nous basant sur le système CVSS (Common Vulnerability Scoring System), un ensemble de normes ouvertes pour attribuer un nombre à une vulnérabilité afin d’en évaluer la gravité.

Données à caractère personnel

KNAPP traite vos données à caractère personnel pour le traitement et la priorisation des signalements/rapports sur la base des intérêts légitimes (Article 6 paragraphe 1 point f) du RGDP ; garantie de la sécurité des systèmes informatiques et protection contre les attaques). Le traitement des données est nécessaire car sinon aucune évaluation du rapport ne peut avoir lieu. Il s’agit d’un signalement volontaire et son traitement représente une faible intensité d’intervention.  Si votre rapport est pris en compte pour une récompense, KNAPP doit traiter les données à caractère personnel nécessaires (c’est-à-dire votre nom, vos coordonnées bancaires, etc.) pour pouvoir vous transférer la récompense offerte (article 6, paragraphe 1, point b) du RGPD). Vos données à caractère personnel ne seront enregistrées que tant que ceci sera nécessaire pour remplir les obligations légales et aux fins mentionnées ci-dessus. Vos données personnelles ne seront pas confiées à des tiers (à l’exception des prestataires de services de paiement en cas de rémunération) sans votre consentement. La prise de décision ne s’effectue pas de manière automatisée. Pour plus d’informations sur la protection des données et comment faire valoir vos droits en tant que personne concernée, consultez le lien suivant : https://www.knapp.com/fr/declaration-de-protection-des-donnees/.