Divulgation responsable

Canium construit une infrastructure critique pour la sécurité, et nous accueillons favorablement le travail des chercheurs en sécurité qui nous aident à la garder solide. Cette politique explique comment signaler une vulnérabilité, ce qui est couvert ou non, les règles que nous vous demandons de suivre, et ce que vous pouvez attendre de nous en retour.


Notre engagement — Refuge juridique

Si vous faites un effort de bonne foi pour respecter cette politique pendant vos recherches, nous considérerons votre activité comme autorisée. Nous n'intenterons ni n'appuierons aucune action en justice contre vous et, si un tiers intente une action contre vous pour une activité menée conformément à cette politique, nous ferons savoir que vos actions étaient autorisées.

Nous considérons la recherche en sécurité menée conformément à cette politique comme un accès autorisé au sens du Code criminel du Canada et du droit applicable en matière d'utilisation abusive de l'informatique. Si, à tout moment, vous n'êtes pas certain qu'une action particulière soit conforme à cette politique, contactez-nous à security@canium.ca avant de poursuivre.

Cet engagement de refuge juridique ne lie pas les tiers autres que Canium et n'autorise aucune activité qui serait illégale indépendamment de cette politique.

Portée

Les actifs suivants, exploités par Canium, sont couverts :

Les éléments suivants sont hors portée :

Règles d'engagement

Comment signaler

Envoyez votre rapport à security@canium.ca. Nos coordonnées lisibles par machine sont publiées à /.well-known/security.txt.

Un rapport utile comprend :

Nous acceptons les rapports en français et en anglais.

Ce que vous pouvez attendre de nous

Nous priorisons les problèmes selon leur impact sur les garanties fondamentales de Canium — tout ce qui pourrait compromettre la confidentialité du contenu des messages, du matériel de clé ou de l'authentification des utilisateurs est traité comme la priorité la plus élevée.

ÉtapeNotre cible
Accusé de réception de votre rapportDans les 3 jours ouvrables
Tri initial et évaluation de la gravitéDans les 10 jours ouvrables

Reconnaissance

Canium n'exploite pas actuellement de programme de primes aux bogues rémunéré. Avec votre permission, nous serons heureux de vous créditer dans nos remerciements de sécurité une fois un problème signalé résolu. Si vous préférez rester anonyme, dites-le-nous et nous le respecterons.


Architecture de sécurité et modèle de menace →

security.txt — contact lisible par machine