logo

Produits

Produits owerview

Couverture

Besoin d’aide ?

Contactez nos ventes|Recevez une SIM gratuite

Solutions

Solutions owerview

Testez dans votre solution ?

Contactez nos ventes|Carte SIM gratuite

Ressources

Ressources owerview

Vous avez besoin d'aide ?

Contactez nos ventes|Visiter le centre d’assistance

Tarifs

Politique de divulgation responsable

Dernière mise à jourMarch 31, 2026

Chez Simbase, nous nous engageons à maintenir la sécurité de nos systèmes et des données de nos clients. Nous fournissons des services de connectivité IoT à l'échelle mondiale et comprenons l'importance critique de la protection de notre plateforme développée en interne, sur laquelle nos clients s'appuient pour gérer leurs appareils. Nous gérons un programme de divulgation responsable et un programme actif de chasse aux bogues pour récompenser les chercheurs en sécurité qui nous aident à identifier et à corriger les vulnérabilités.

Notre engagement

Nous contrôlons et améliorons en permanence nos mesures de sécurité afin de garantir l'intégrité et la fiabilité de nos services. Si vous pensez avoir trouvé une faille de sécurité dans notre plateforme, nous vous encourageons à nous en informer discrètement, et nous nous engageons à examiner tous les rapports légitimes de manière rapide et approfondie.

Comment signaler une vulnérabilité en matière de sécurité

Si vous avez découvert un problème de sécurité potentiel, veuillez nous en faire part en suivant les étapes suivantes :

  1. Envoyez vos résultats à security@simbase.com.

  2. Incluez suffisamment d'informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. Les vulnérabilités complexes peuvent nécessiter davantage d'explications que les vulnérabilités moins complexes.

  3. Nous faire part de la vulnérabilité en toute confidentialité et ne pas la partager avec d'autres avant que nous ayons eu l'occasion d'y remédier.

Divulgation de sécurité : Nos coordonnées de sécurité sont publiées à l'adresse suivante simbase.com/.well-known/security.txt conformément à la norme RFC 9116, qui peut également être utilisée pour signaler des failles de sécurité.

Notre promesse

  • Nous accuserons réception de votre rapport de vulnérabilité dans les 32 heures.

  • Nous communiquerons avec vous pour comprendre l'étendue de la vulnérabilité et travaillerons avec vous pour valider et résoudre le problème.

  • Nous traiterons votre rapport dans la plus stricte confidentialité et nous ne communiquerons pas vos données personnelles à des tiers sans votre autorisation.

  • Nous vous tiendrons informé de nos progrès au cours des phases d'enquête et de résolution.

  • Nous nous efforçons de résoudre toutes les vulnérabilités vérifiées dans un délai raisonnable et publierons une mise à jour dès que possible.

Programme de récompenses pour les bogues

Simbase récompense les rapports valides et qualifiés sur les vulnérabilités de sécurité par le biais de son programme de récompense des bogues (bug bounty). Nous travaillons avec des chercheurs en sécurité du monde entier pour identifier et résoudre les problèmes de sécurité. Les rapports acceptés peuvent donner lieu à des récompenses monétaires et à une reconnaissance supplémentaire.

Champ d'application

Dans le champ d'application

Les domaines suivants peuvent faire l'objet d'une récompense dans le cadre du programme "bug bounty" :

  • simbase.com et tous les sous-domaines (à l'exclusion des services hébergés par des tiers)

  • API REST points finaux et mécanismes d'authentification

  • Tableau de bord et des systèmes de gestion des comptes

  • Systèmes d'authentification (SSO, OAuth, clés API, validation des jetons)

  • Infrastructure IdO (protocoles de communication des appareils, sécurité des réseaux, transmission des données)

Hors champ d'application

Les questions suivantes sont pas éligibles aux primes :

  • Résultats obtenus à l'aide d'outils automatisés ou d'analyses sans validation manuelle

  • Applications, services ou appareils tiers qui interagissent avec notre plateforme

  • Vulnérabilités par déni de service (DoS, DDoS)

  • les applications mobiles (sauf si elles sont explicitement incluses dans un programme de primes spécifique)

  • Attaques visant les clients ou les utilisateurs finaux de Simbase (et non nos systèmes)

  • Dérivation à limitation de débit sans impact démontrable

  • En-têtes de sécurité HTTP manquants sans impact exploitable

  • Problèmes de configuration SPF, DKIM ou DMARC

  • Vulnérabilités liées à l'injection de contenu sans exploitabilité confirmée

  • Questions relatives à l'accès physique aux infrastructures

  • Les attaques d'ingénierie sociale ou d'hameçonnage contre les employés de Simbase

Éligibilité

Pour pouvoir bénéficier des récompenses de la chasse aux bogues, vous devez :

  • Ne pas être un employé actuel ou ancien de Simbaseentrepreneur ou consultant (au cours des 6 derniers mois)

  • Ne pas être situé dans une juridiction sanctionnée lorsque des restrictions légales s'appliquent

  • Être âgé d'au moins 18 ans (ou avoir le consentement des parents et l'autorisation écrite du tuteur légal)

  • Respecter toutes les lois applicables dans votre juridiction

  • Soyez le premier journaliste de la vulnérabilité (la prime est attribuée au premier rapport valide reçu)

  • Suivre cette politique dans son intégralité, y compris les exigences de confidentialité

Récompenses

Les rapports sur les vulnérabilités qui remplissent les conditions requises reçoivent :

  • 200 USD (ou équivalent) en crédit de plate-forme sur Simbase

  • 10 cartes SIM gratuites

Critères d'éligibilité à la récompense :

  • La vulnérabilité doit n'avoir jamais été signalée à Simbase.

  • La vulnérabilité doit avoir un impact démontrable sur la sécurité.

  • Le rapport doit contenir suffisamment de détails pour reproduire le problème.

  • Le chercheur doit respecter intégralement cette politique

  • Simbase se réserve le droit de déterminer la gravité et l'éligibilité des récompenses.

Classification de la gravité (pour le contexte) :

  • Critique : Exécution de code à distance, contournement de l'authentification, accès aux données sensibles des clients

  • Haut : Escalade des privilèges, exposition importante des données, IDOR avec accès aux données sensibles

  • Moyen : XSS stocké, CSRF sur des actions sensibles, divulgation d'informations sur les systèmes internes

  • Faible : XSS réfléchi avec impact limité, messages d'erreur verbeux, fuites d'informations mineures

Remarque : Simbase se réserve le droit d'ajuster les récompenses en fonction de la gravité et de l'impact. Les rapports dont la gravité est faible ou informative peuvent faire l'objet d'un accusé de réception sans récompense.

La sphère de sécurité

Les chercheurs en sécurité qui respectent cette politique en toute bonne foi sont protégés par notre disposition relative à la sphère de sécurité :

  • Nous allons ne pas engager d'action en justice contre vous pour la recherche en matière de sécurité menée conformément à la présente politique

  • Nous considérons que les recherches autorisées qui respectent cette politique sont licites au regard des lois en vigueur

  • Nous vous demandons de s'abstenir de toute activité susceptible de nuire à Simbase ou à ses clientsy compris, mais sans s'y limiter :

    • Violations de la vie privée ou accès non autorisé à des données personnelles

    • Destruction ou corruption des données

    • Interruption ou dégradation des services

    • surexploitation des vulnérabilités au-delà de ce qui est nécessaire pour démontrer l'impact

    • Divulgation publique avant que nous ayons eu une possibilité raisonnable de corriger la situation (au moins 90 jours)

Simbase s'engage à travailler avec la communauté de la sécurité pour trouver et résoudre les problèmes de sécurité au sein de ses services. Ensemble, nous pouvons assurer la sécurité de notre écosystème numérique partagé.

Contact

Pour les rapports sur les failles de sécurité ou les questions relatives à cette politique :

Nous vous remercions de votre divulgation responsable et de votre contribution à la sécurité de la plateforme Simbase.