Cette politique régit l’ensemble des vulnérabilités et violations de sécurité des informations qui se sont produites lors d’opérations des sociétés affiliées de Globant et autres entités sous son contrôle.
Cette politique établit les processus de signalement, aux équipes de Globant, de toute violation de données, suspicion de violation de données, ou de vulnérabilité constatée sur l’un des systèmes de Globant. Une violation de données implique la perte ou la divulgation non autorisée d'informations personnelles, ou l’accès non autorisé à ces données. Une vulnérabilité désigne toute défaillance affectant un système et susceptible d’entraîner une violation de données ou une interruption du service fourni.
En adhérant à cette Procédure et à ce Plan de réponse, Globant sera en mesure de contenir, d'évaluer et de corriger promptement les violations de données ou les vulnérabilités, et d’atténuer les éventuels dommages causés.
Pour Globant, il est crucial d’assurer la confidentialité, l’intégrité et la disponibilité de nos informations et systèmes. Nous apprécions le travail effectué par les chercheurs en sécurité qui nous aident à améliorer nos mesures de sécurité. C’est pourquoi nous souhaitons mettre en place un processus clair pour vous permettre de signaler toute vulnérabilité ou violation de sécurité. Toutes les vulnérabilités ou violations de sécurité doivent être signalées à : vulnerabilities@globant.com
Globant encourage les chercheurs en sécurité à signaler toute vulnérabilité ou violation de sécurité que vous pensez avoir repérée. Tous les rapports soumis conformément à cette politique seront examinés et tout problème éventuellement rencontré sera résolu dans les meilleurs délais. Si vous vous employez en toute bonne foi à vous conformer à cette politique pendant votre recherche de sécurité, nous considérerons que votre recherche est autorisée et nous travaillerons à vos côtés pour comprendre et résoudre le problème rapidement, et nous ne recommanderons ni n’intenterons d’action en justice en rapport avec votre recherche.
Les éléments suivants décrivent les actions que les chercheurs doivent obligatoirement appliquer, sont autorisées à appliquer et ne doivent pas appliquer en matière de tests :
Les chercheurs en sécurité doivent :
- cesser les tests et nous informer immédiatement en cas de découverte d'une vulnérabilité ;
- cesser les tests et nous informer immédiatement en cas d’exposition de données non publiques ;
- supprimer toute donnée non publique de Globant après le signalement d'une vulnérabilité.
Les chercheurs en sécurité doivent :
- afficher ou stocker les données non publiques de Globant uniquement dans la mesure nécessaire à documenter la présence d'une vulnérabilité potentielle.
Les chercheurs en sécurité ne doivent pas :
- tester un système autre que les systèmes définis dans la portée des systèmes décrits ci-dessous ;
- divulguer des informations de vulnérabilité à l’exception de celles spécifiées dans les sections « Signaler une vulnérabilité » et « Divulgation » ci-dessous ;
- procéder à des tests physiques d’installations ou de ressources ;
- recourir à l’ingénierie sociale ;
- envoyer des e-mails non sollicités à des utilisateurs de Globant, y compris des messages de « hameçonnage » ;
- exécuter ou tenter d’exécuter des attaques de type « Déni de service » ou « Épuisement des ressources » ;
- introduire des logiciels malveillants ;
- effectuer des tests d'une manière susceptible de dégrader le fonctionnement des systèmes Globant, ou entraver, perturber ou désactiver intentionnellement les systèmes de Globant ;
- supprimer, modifier, partager, conserver ou détruire les données de Globant, ou les rendre inaccessibles ;
- utiliser un exploit pour exfiltrer des données, établir un accès à la ligne de commande, établir une présence persistante sur les systèmes de Globant.
Nous avons déterminé que la portée suivante de systèmes était acceptée pour les recherches :
- www.globant.com
- Jira.globant.com
- investors.globant.com/sec-filings
- powerbi.globant.com/
- github.globant.com/
- www.starmeup.com/
- betterme.starmeup.com
- takepart.starmeup.com
Les chercheurs sont autorisés à soumettre des rapports de manière anonyme, mais nous vous invitons plutôt à utiliser la méthode de contact préférée pour clarifier les informations de vulnérabilité signalées ou autre échange technique.
En cas de signalement d'une vulnérabilité ou d’une violation de sécurité, il est souhaitable d’ajouter une description technique détaillée des étapes nécessaires à la reproduire, y compris les outils, les images et autre documentation pouvant être rattachéssux rapports.
Les informations à inclure (si elles sont connues) à ce stade incluent :
- À quel moment la violation a eu lieu ou la vulnérabilité a été exploitée (date et heure).
- Description de la violation/vulnérabilité (type d'informations personnelles concerné).
- Raison de la violation (si elle est connue), et sinon, comment elle a été découverte.
- Quels systèmes ont été affectés, le cas échéant ?
- Quel sont les projets/domaines/tâches concernés ?
Globant déterminera la gravité de l'incident en fonction des critères suivants :
- Le type et l’étendue des informations personnelles concernées
- Le nombre d'individus affectés
- Si les informations sont protégées par des mesures de sécurité (protection par mot de passe ou chiffrement)
- La personne ou les types de personnes ayant maintenant accès
- S'il y a (ou pourrait y avoir) un risque réel de dommage grave pour les individus concernés
- Si la violation ou le soupçon de violation risque d’attirer l’attention des médias ou des actionnaires.