Chez Choice Hotels International, nous apprécions et encourageons les chercheurs en sécurité informatique à nous contacter pour rapporter les vulnérabilités potentielles dans tous les produits, systèmes et actifs nous appartenant. Pour soutenir ces initiatives, nous avons mis en place une politique de divulgation responsable, également appelée politique de divulgation de vulnérabilité. Nous allons faire évoluer et revoir cette politique à mesure que nous progressons dans l’avenir ; veuillez continuer à consulter ici nos mises à jour.

Message spécial à l’attention de la communauté des chercheurs et des rapporteurs en sécurité et vulnérabilité informatique

Nous vous remercions à l’avance de nous informer de toute lacune potentielle dans notre sécurité. Nous remercions sincèrement ceux et celles d’entre nous qui collaborent avec nous pour corriger toutes les vulnérabilités afin d’en minimiser l’impact et le risque sur toutes nos parties prenantes. Par conséquent, vous verrez dans notre politique, notre demande d’assistance pour le dépannage et/​ou la correction de ces lacunes et notre demande de partage de la résolution proposée.

Nous n’engagerons aucune poursuite juridique et nous ne déposerons aucune plainte auprès des forces de l’ordre contre le chercheur agissant en toute bonne foi. Cependant, Choice Hotels International se réserve tous les droits légaux en cas de non-respect des Consignes relatives aux actions de bonne foi suivantes.

Récompense

Veuillez noter que Choice Hotels International n’offre pas à l’heure actuelle de programme de prime de bogues ”; ainsi, nous n’offrons aucune offre de compensation, de récompense ou de reconnaissance publique pour la soumission de vulnérabilités potentielles.

Consignes relatives aux actions de bonne foi 

Pour promouvoir la découverte et la publication de vulnérabilités, nous vous demandons :

  • de respecter nos applications existantes ; d’agir de facon à éviter les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de nos services (y compris le déni de service) ;
  • de ne pas accéder et de ne pas modifier nos données ou celles de nos parties prenantes ;
  • Contactez-nous immédiatement si vous trouvez des données de nos parties prenantes. Ne regardez pas, n’altérez pas, ne détruisez pas, ne sauvegardez pas, n’archivez pas, ne transférez pas, n’accédez pas de quelle que manière que ce soit ou ne compromettez pas ces données, et veuillez purger toute information locale après nous avoir signalé cette vulnérabilité ;
  • Si des coordonnées personnelles (par exemple, noms, adresses, adresses e‑mail, numéros de comptes de fidélité, des identifiants uniques, des numéros de cartes bancaires) sont découvertes, veuillez suspendre toute activité et contactez immédiatement Choice Hotels International ;
  • ne gênerez pas de transactions financières frauduleuses ;
  • ne participe à aucune activité qui enfreint a) les lois fédérales, les lois de l’État ou les lois internationales ou b) les lois et les règlementations des pays où i) les actifs, les données ou les systèmes sont domiciliés, où ii) le flot de données est acheminé, où III) le chercheur conduit son activité de recherche ou IV) où les personnes concernées résident :
  • Partagez avec nous le probleme de sécurité et/​ou de confidentialité.

Procédures de divulgation responsable/​de vulnérabilité comment signaler une vulnérabilité 

Pour divulguer une vulnérabilité potentielle, veuillez envoyer un courriel aux équipes chargées de la securite et de la confidentialité à : responsibledisclosure@​choicehotels.​com.

Format de soumission

Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure une description détaillée de la vulnérabilité : les outils utilisés, la cible, les processus et les résultats. Veuillez étayer vos conclusions en joignant tous les artefacts pertinents utilisés pour arriver à cette découverte. Bien que cela ne soit pas nécessaire pour l’examen et la validation/​vérification de la vulnérabilité, si vous avez des informations sur la correction de cette vulnérabilité, veuillez partager la résolution que vous proposez.

Avis de réception et réponse 

Lorsqu’un signalement est reçu par notre équipe de sécurité informatique, un avis de réception sera envoyé en réponse à l’envoyeur dans un délai de cinq jours ouvrables. Une demande complémentaire d’informations pourrait être envoyée au besoin. Après la validation/​vérification de la vulnérabilité, une réponse sera envoyée à l’expéditeur.

Bloc de temps

Choice Hotels International ne négociera pas en réponse à une menace (par exemple, nous ne négocierons pas sous la menace d’une retenue à la source ou sous la menace de divulgation de la vulnérabilité sur la place publique). Cela dit, nous mettons nos ressources à votre disposition et nous vous demandons de nous accorder un délai raisonnable pour la validation/​la vérification et la résolution de la vulnérabilité avant de prendre des mesures pour la rendre publique.

Signalement externe de vulnérabilité 

La communication d’informations sur les vulnéralités à de tierces parties/​fournisseurs sera déterminée à la discrétion de Choice Hotels International.

Hors du champ d’application

Les éléments suivants sont hors du champ d’application de la soumission en vertu de la politique de divulgation responsable. Les vulnérabilités suivantes sont hors champ :

  • l’ingénierie sociale, telle que les tentatives de vol de cookies, les fausses pages de connexion pour collecter des informations d’identification et l’hameçonnage
  • les attaques par épuisement des ressources
  • les tests physiques
  • les attaques par déni de service
REV 09/03/2019