Politique de divulgation responsable

Chez Sprout Social, nous prenons la sécurité des données de nos utilisateurs très au sérieux. Nous encourageons ceux qui ont découvert des failles potentielles de sécurité dans un service Sprout Social à nous les communiquer de manière responsable. La présente Politique de divulgation responsable décrit les étapes à suivre pour signaler les vulnérabilités, ce à quoi vous pouvez vous attendre et ce que vous pouvez attendre de nous.

Notre engagement envers vous

Pour toutes les personnes qui signalent des vulnérabilités présumées conformément à la présente Politique de divulgation responsable, Sprout Social s’engage à :

  • Maintenir votre confidentialité ;

  • d'accuser réception de votre rapport dans les meilleurs délais ;

  • Évaluer la validité du signalement ainsi que sa gravité et son impact ;

  • de vous informer lorsque la vulnérabilité est corrigée ; et

  • de reconnaître publiquement votre responsabilité dans le cadre de la divulgation, si vous le souhaitez.

Champ d’application, directives et exclusions

Sprout Social s’associe à Bugcrowd dans le cadre de notre Programme de divulgation des vulnérabilités (« VDP »). Les ressources concernées se trouvent dans la section Champ d’application de la page Bugcrowd VDP de Sprout Social.

Vous ne pouvez tester les failles de sécurité qu’à l’aide d’un compte dont vous êtes le Propriétaire ou si vous êtes un agent autorisé par le Propriétaire du compte à effectuer de tels tests.

Tous les tests doivent être effectués conformément à la présente Politique de divulgation responsable, aux Conditions d’utilisation de Sprout Social, aux Conditions de divulgation standard de Bugcrowd et à toutes les lois applicables.

Sprout Social interdit les types de recherche et de test suivants :

  • Accès international ou tentative d’accès international à des données qui ne vous appartiennent pas ;

  • Exécution ou tentative d’exécution d’une attaque par déni de service (DoS/DDoS) ou d’un test des contraintes de l’application, des systèmes ou des réseaux ;

  • Envoi ou tentative d’envoi d’e-mails non sollicités ou non autorisés, de spam ou d’autres formes de messages non sollicités ;

  • Recherches effectuées par le biais de l’ingénierie sociale ou d’autres moyens trompeurs (par exemple, hameçonnage, hameçonnage vocal, hameçonnage par SMS, manipulation de liens) ;

  • Test de services, d’applications ou de sites Web tiers qui s’intègrent à Sprout Social ;

  • Affichage, transmission, chargement, création d’un lien vers, envoi ou stockage intentionnel de logiciels malveillants, de virus ou de logiciels nuisibles similaires ;

  • Exécution de toute forme de test de sécurité ou d’audit des emplacements physiques, notamment les bureaux, les centres de données et les installations de Sprout Social ;

  • Recherches effectuées par des mineurs, des personnes figurant sur les listes de sanctions ou des personnes dans des pays figurant sur les listes de sanctions ;

  • Toutes les activités interdites par les Conditions de divulgation standard de Bugcrowd

Règle d’exonération

Sprout Social se réserve tous ses droits légaux en cas de non-respect de la présente Politique de divulgation responsable, mais n’entend pas poursuivre en justice les parties qui effectuent des recherches de sécurité et qui nous divulguent des informations de bonne foi, comme indiqué dans la présente Politique.

Envoi de votre rapport de vulnérabilité

Veuillez soumettre toutes les vulnérabilités présumées via notre VDP Bugcrowd à l’adresse https://bugcrowd.com/sproutsocial.

Les vulnérabilités présumées signalées par d’autres moyens, tels que par e-mail, sur les réseaux sociaux ou sur une plateforme de bug bounty autre que Bugcrowd, ne seront pas acceptées.

Si vous pensez avoir détecté une vulnérabilité, veuillez nous envoyer toute information pertinente pour nous permettre de reproduire votre cas d'utilisation et d'effectuer un suivi du problème.

Pour protéger la confidentialité et la sécurité de nos utilisateurs :

  • Veuillez ne pas divulguer publiquement les informations relatives aux vulnérabilités présumées que vous avez identifiées sans l’autorisation écrite expresse de Sprout Social.

  • Immédiatement après avoir envoyé votre rapport, veuillez supprimer/détruire toutes les copies locales ou mises en cache des données auxquelles vous avez pu accéder ou que vous avez reçues pendant vos tests.

Récompenses/Compensations

Vous pouvez être éligible à une récompense si vous êtes la première personne à signaler une vulnérabilité spécifique, si la vulnérabilité est validée par l’équipe de sécurité de Sprout Social et si vous avez respecté toutes les conditions, règles et restrictions contenues dans la présente Politique. La disponibilité de toute récompense ou compensation est à la seule discrétion de Sprout Social et leur remise se fait exclusivement via la plateforme Bugcrowd. Sprout Social ne garantit pas, de façon expresse ou implicite, que des récompenses ou des compensations seront offertes. Pour plus d’informations, veuillez consulter notre page Bugcrowd à l’adresse suivante : https://bugcrowd.com/sproutsocial