Politique de divulgation des vulnérabilités
TAP accueille favorablement la divulgation responsable des vulnérabilités. Cette politique décrit les règles qui la définissent et la manière de nous soumettre un rapport. Veuillez noter que TAP peut modifier cette politique de temps à autre.
En tant que chercheur en sécurité désireux de contribuer à la découverte de failles de sécurité dans nos applications, vous devez lire la présente politique avant de vous engager dans une telle activité et respecter les règles qui y sont décrites.
- TAP n'offre pas de compensation financière pour la soumission de vulnérabilités.
- TAP peut permettre d'être désignée comme référence dans les conditions mentionnées dans les règles de publication.
- Nous vous demandons de ne pas divulguer la vulnérabilité avant que TAP ne confirme sa résolution.
- Nous vous demandons d'obtenir notre approbation écrite pour la divulgation.
- Nous vous demandons d'omettre ou de supprimer les informations confidentielles dans la divulgation.
- Les domaines suivants : www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
- L'application mobile TAP Air Portugal (iOS et Android).
- Tout domaine non spécifiquement inclus dans le champ d'application.
- Toute autre application, qu'elle soit mobile, Web ou autre, qui ne soit pas incluse dans le champ d'application.
- Les vulnérabilités dans les services intégrés appartenant à d'autres entreprises.
- Les analyses automatisées.
- Les tests de performance ou de résistance et les attaques perturbatrices, y compris les tests de déni de service (DoS ou DdoS).
- Les attaques contre les employés ou les utilisateurs de TAP, y compris l'ingénierie sociale, l'extorsion, le pollupostage ou l'hameçonnage.
- Les atteintes à la sécurité physique.
- L'introduction de portes dérobées ou de tout accès persistant.
- L'introduction de changements dans les systèmes ou les applications.
- La modification ou la suppression de données dans les systèmes ou les applications.
- Les résultats des analyses automatisées.
- Les meilleures pratiques en matière de sécurité, telles que les en-têtes de sécurité, les bannières de cookies.
- Les versions SSL / TLS ou chiffrements non sécurisés.
- Les problèmes SPF, DKIM et DMARC.
- Les vulnérabilités ayant un impact minimal.
- Une vulnérabilité déjà signalée ou détectée par les propres moyens de TAP.
- Agissez de bonne foi et respectez la loi applicable.
- Ne violez pas la confidentialité, l'intégrité ou la disponibilité des données.
- N'extrayez pas de données.
- Signalez rapidement toute vulnérabilité découverte uniquement à TAP.
- N'effectuez les activités de test que dans la mesure nécessaire pour confirmer la vulnérabilité. Arrêtez dès que vous pouvez prouver son existence.
- Si vous n'êtes pas sûr que les activités de test ne causeront pas de dommages à TAP, arrêtez vos tests et contactez-nous.
- Fournissez-nous suffisamment d'informations pour reproduire la vulnérabilité.
- Accordez-nous un délai raisonnable pour analyser, reproduire et corriger la vulnérabilité.
- Fournissez-nous le rapport en anglais ou en portugais.
- Envoyez-nous un e-mail en utilisant cette adresse e-mail : [email protected].
- Nous vous recommandons fortement de chiffrer le rapport à l'aide de notre clé publique PGP [publiée ici].
- Répondre dans les meilleurs délais et accuser réception de votre rapport.
- Travailler avec vous pour comprendre et valider vos conclusions ainsi que discuter des problèmes.
- Développer des mesures pour remédier en temps opportun les vulnérabilités découvertes.
- Vous avertir lorsque la vulnérabilité a été corrigée.
TAP utilisera vos données personnelles uniquement pour vous contacter dans le cadre de votre rapport de vulnérabilité.
Toutefois, en cas de besoin, nous pouvons divulguer vos données personnelles à nos partenaires d'affaires, mais toujours dans le respect de la législation sur les données personnelles en vigueur.
Nous conserverons vos données personnelles pendant une durée maximale de 1 an, une fois le processus terminé.
Toutefois, en cas de besoin, nous pouvons divulguer vos données personnelles à nos partenaires d'affaires, mais toujours dans le respect de la législation sur les données personnelles en vigueur.
Nous conserverons vos données personnelles pendant une durée maximale de 1 an, une fois le processus terminé.