Política de divulgación de vulnerabilidades

Empresa a misión, respetuosa de la privacidad de cada uno, ponemos la tecnología y la innovación al servicio de la humanidad, y consideramos que la seguridad de nuestros socios y clientes es una de nuestras principales prioridades.

Hacemos todo lo posible por garantizar la mejor calidad de servicio y el más alto nivel de seguridad en nuestros productos, desde su diseño. Sin embargo, y a pesar de todos nuestros esfuerzos, todavía pueden existir vulnerabilidades.

Es por eso por lo que CIC dispone de una política de divulgación de vulnerabilidades. Esta política explica la comunicación en materia de declaración de las posibles vulnerabilidades que afectan a sus servicios, así como el método de tratamiento de dichas declaraciones.

El punto de entrada para las declaraciones será nuestro "Computer Emergency Response Team (CERT) CM-EI".

CIC le agradece su declaración y la contribución a la seguridad del mayor número de personas a las que representa.

Para cualquier declaración de vulnerabilidad, le rogamos que nos envíe un mensaje a través del siguiente formulario. Para mejorar la atención y la identificación de dicha vulnerabilidad, incluya toda la información disponible en el formulario de declaración.

Por razones de seguridad, todos nuestros intercambios ulteriores se harán de forma cuantificada mediante PGP.

Para enviarnos comunicaciones cifradas, puede utilizar nuestra clave PGP disponible en el sitio de Crédit Mutuel.

Tras su declaración, nuestros equipos analizarán su contenido para validar la calificación de vulnerabilidad lo antes posible. Solo nos pondremos en contacto de nuevo con usted si necesita más información.

Además:

• En el marco de este programa no se prevé ninguna remuneración, aun cuando se demuestre la existencia de una vulnerabilidad.
• Por razones de seguridad, no se hará ninguna publicación de los fallos ni de su resolución.

CIC sigue siendo el único responsable de la clasificación de la vulnerabilidad y de la categorización del riesgo resultante. El tratamiento y el plazo de resolución de dichas vulnerabilidades quedan a la discreción de CIC.

Al presentar su declaración de vulnerabilidad a CIC se le solicita que:

• Se cumpla con las leyes aplicables;
• No se practiquen ataques por denegación de servicio o agotamiento de recursos.
• Utilizar los sistemas de CIC sin objeto de perjudicar al Grupo, ni a sus clientes, a sus trabajadores o a terceros;
• No utilizar, modificar o borrar ningún dato al que pueda acceder aprovechando dicha vulnerabilidad;
• No realizar ingeniería social, spam o ataques de phishing contra empleados de CIC o personas de confianza;
• No poner a prueba la seguridad física de los bienes de CIC o de terceros;
• No divulgar información sobre esta declaración, la vulnerabilidad notificada o el hecho de que se haya notificado una vulnerabilidad a CIC.

Este compromiso de no divulgación se aplicará independientemente de que CIC haya tenido conocimiento o no de la información previamente.

Todos los aspectos de este proceso están sujetos a cambios sin previo aviso.

La declaración de una vulnerabilidad no le confiere ningún derecho de propiedad intelectual sobre activos pertenecientes a CIC o a uno de sus terceros.