RODI considers the safety and security of Rotarians’ data to be one of its top priorities. This is why it strives to guarantee a very good level of security and reliability of its applications and systems. Despite its efforts to implement these security measures, vulnerabilities may still be present in its services and systems.

RODI is aware of the essential role of users and security researchers in the security of its services and systems and encourages them to report responsibly any vulnerabilities they may encounter while respecting the principles described in this policy.

 

 Who ?

Everyone is encouraged to report identified vulnerabilities, regardless of the type of service or information system. Researchers, partners, CSIRT/CERT, members or any other source are welcome to report vulnerabilities.

How ?

The preferred method to contact RODI regarding these vulnerabilities is to send an email to

contact@rodi-platform.org

For confidential documents, RODI recommends using OpenPGP as the encryption system. Please use the public key available for download below.

https://www.rodi-platform.org/LinkClick.aspx?fileticket=4hgsUgTxP1A%3d&portalid=0

Personal data

Please note that :

  Providing your contact details with your report is entirely voluntary and at your discretion;

  RODI may use, for the purposes described below, all reports submitted, whether anonymous or containing contact details;

If you choose to provide your contact information, RODI will only use it to communicate with you to clarify the details of your report, if applicable. Under no circumstances will your contact details be used for purposes other than those for which you provided them. In particular, they will not be transmitted to any other entity;

  Please review RODI's general privacy policy to learn how we respect the privacy of your personal data.

https://www.rodi-platform.org/district/declaration-de-confidentialite-rodi

When disclosing a vulnerability ethically

By disclosing an error or vulnerability to RODI, you confirm that you are acting responsibly by not taking advantage of the error or vulnerability, including that:

You have not exploited or used in any way, and will not exploit or use in any way (other than for the purpose of reporting to us), the discovered vulnerabilities and/or errors ;

You have not engaged, and will not engage, in testing/searching for vulnerabilities and/or errors with the intention of harming the Department, its constituents, agents, partners or suppliers;

 

You have not used, collected, deleted, altered or destroyed, and will not use, collect, delete, alter or destroy any data to which you have had access or may have access in connection with the vulnerability and /or the error discovered;

You have not carried out, and will not carry out, social engineering, spamming, phishing, denial of service or resource exhaustion attacks;

You have not violated and will not violate any applicable laws with respect to your report and your interaction with RODI services or information systems that led to your report;

You have not disclosed and agree not to disclose to any third party information relating to your report, reported vulnerabilities and/or errors, or the fact that a vulnerability and/or error has been reported to RODI. This non-disclosure commitment applies regardless of whether RODI has prior knowledge of the information or not.

By reporting to RODI through the method described above, or otherwise communicating a report to RODI, regarding vulnerabilities and errors in its services or systems, you agree that:

RODI may use your report for any purpose deemed relevant, including to correct vulnerabilities and errors that are reported and which RODI judges to exist and need to be corrected;

To the extent that you propose changes and/or improvements to a RODI service or system in your report, you authorize RODI, through itself or through the use of a third party, to use, implement, modify (including to adapt), disseminate and distribute these proposals and any resulting implementations. This authorization is given without compensation and for the entire world.

Our engagement :

To encourage responsible disclosure, RODI will endeavor not to take any action against any person submitting reports in accordance with this Policy and conducting testing/research on the Services or Systems without harm to RODI , to its administrators, its agents or third parties;

  Not using or modifying any data to which it could access upon discovery;

     Not engaging in social engineering, spamming or phishing attacks;

     Not testing the physical security of RODI or third party assets and sites;

     Not carrying out denial of service or resource exhaustion attacks;

     Complying with applicable laws, including criminal laws.

RODI considère que la sûreté et la sécurité des données des Rotariens est l’une de ses principales priorités. C’est pourquoi il s'efforce de garantir un très bon niveau de sécurité et de fiabilité de ses applications et systèmes. Malgré ses efforts pour mettre en œuvre ces mesures de sécurité, des vulnérabilités peuvent encore être présentes dans ses services et systèmes.

RODI est conscient du rôle essentiel des utilisateurs et des chercheurs en sécurité en matière de sûreté de ses services et systèmes et les encourage à un signalement responsable des vulnérabilités qu’ils pourraient rencontrer en respectant les principes décrits dans la présente politique.
Qui ?

Chacun est encouragé à signaler les vulnérabilités identifiées, quel que soit le type de service ou de système d’information. Chercheurs, partenaires, CSIRT/CERT, membres ou toute autre source sont les bienvenus pour signaler les vulnérabilités.
Comment ?

La méthode préférée pour contacter RODI au sujet de ces vulnérabilités est d'envoyer un courriel à l'adresse contact@rodi-platform.org.

Pour les documents confidentiels, RODI recommande d'utiliser OpenPGP comme système de chiffrement. Veuillez s'il vous plaît utiliser la clé publique disponible en téléchargement ci-dessous.
https://www.rodi-platform.org/LinkClick.aspx?fileticket=4hgsUgTxP1A%3d&portalid=0

Données à caractère personnel

Veuillez noter que :

    La communication de vos coordonnées avec votre rapport est entièrement volontaire et à votre discrétion ;
    RODI pourra utiliser, aux fins décrites ci-dessous, tous les rapports soumis, qu’ils soient anonymes ou qu’ils contiennent des coordonnées ;
    Si vous choisissez de fournir vos coordonnées, RODI les utilisera uniquement pour communiquer avec vous afin de clarifier les détails de votre rapport, le cas échéant. En aucun cas vos coordonnées ne seront utilisées à d’autres fins que celles pour lesquelles vous les lui avez confiées. En particulier, elles ne seront transmises à aucune autre entité ;
    Veuillez consulter la politique générale de confidentialité de RODI pour savoir comment nous respectons la confidentialité de vos données personnelles.
https://www.rodi-platform.org/district/declaration-de-confidentialite-rodi

En cas de divulgation d'une vulnérabilité de façon éthique

En divulguant une erreur ou vulnérabilité à RODI, vous confirmez que vous agissez de manière responsable en ne profitant pas de l’erreur ou de la vulnérabilité, notamment que :

    Vous n’avez pas exploité ou utilisé de quelque manière que ce soit, et n’exploiterez pas ou n’utiliserez pas de quelque manière que ce soit (autrement qu’aux fins de nous les signaler), les vulnérabilités et/ou erreurs découvertes ;
    Vous ne vous êtes pas engagé, et ne vous engagerez pas, dans des tests/recherches de vulnérabilités et/ou erreurs avec l’intention de nuire au Département, ses administrés, agents, partenaires ou fournisseurs ;
    Vous n’avez pas utilisé, collecté, supprimé, altéré ou détruit, et n’utiliserez, ne collecterez, ne supprimerez, n’altérerez et ne détruirez pas les données auxquelles vous avez eu accès ou pourriez avoir accès en relation avec la vulnérabilité et/ou l’erreur découverte ;
    Vous n’avez pas mené, et ne mènerez pas, d’attaques d’ingénierie sociale, de spamming, de phishing, de déni de service ou d’épuisement des ressources ;
    Vous n’avez pas enfreint et n’enfreindrez pas les lois applicables en ce qui concerne votre rapport et votre interaction avec les services ou systèmes d’information de RODI qui a mené à votre rapport ;
    Vous n’avez pas divulgué et vous engagez à ne pas divulguer à un tiers les informations relatives à votre rapport, aux vulnérabilités et/ou aux erreurs signalées, ni le fait qu’une vulnérabilité et/ou une erreur a été signalée à RODI. Cet engagement de non-divulgation s’applique indépendamment du fait que RODI ait eu connaissance ou non de l’information préalablement.

En faisant un rapport à RODI par le biais de la méthode décrite plus haut, ou en communiquant autrement un rapport à RODI, concernant des vulnérabilités et des erreurs de ses services ou systèmes, vous acceptez que :

    RODI puisse utiliser votre rapport à toute fin jugée pertinente, notamment pour corriger les vulnérabilités et les erreurs qui sont signalées et dont RODI juge qu’elles existent et qu’elles doivent être corrigées ;
    Dans la mesure où vous proposez des changements et/ou des améliorations à un service ou système de RODI dans votre rapport, vous autorisez RODI, par lui-même ou par le recours à un tiers, à utiliser, mettre en œuvre, modifier (notamment pour adapter), diffuser et distribuer ces propositions et toutes implémentations qui en résultent. Cette autorisation est donnée sans contrepartie et pour le monde entier.

Notre engagement

Afin d’encourager une divulgation responsable, RODI s’efforcera de n’engager aucune action à l’encontre d’une personne soumettant des rapports en conformité avec la présente politique et :

    Effectuant des essais/recherches sur les services ou systèmes sans nuire à RODI, à ses administrés, à ses agents ou à des tiers ;
    N’utilisant, ni ne modifiant aucune donnée à laquelle elle pourrait accéder à l’occasion de sa découverte ;
    N’effectuant pas d’ingénierie sociale, de spam ou d’attaques de phishing ;
    Ne testant pas la sécurité physique des biens et sites de RODI ou de tiers ;
    N’effectuant pas d’attaques par déni de service ou par épuisement des ressources ;
    Se conformant aux lois applicables notamment pénales.