Administrateur du site Web

Le propriétaire et administrateur du site Web de Booksy est Kiute SAS.

Chargement de la politique de confidentialité...

Chargement des conditions d'utilisation...

Securité

La sécurité des systèmes de Booksy et des données qui y résident est essentielle pour nous, et nous traitons les problèmes de sécurité potentiels avec la plus grande priorité. Nous faisons tout notre possible pour protéger les données des commerçants et des clients de Booksy contre les menaces de sécurité, et nous encourageons tous les utilisateurs et les chercheurs en sécurité à signaler les vulnérabilités découvertes sur notre plateforme. Nous nous engageons à traiter les rapports de vulnérabilité dans les plus brefs délais et avec la plus grande attention, à condition que cette politique soit respectée.

Chez Booksy, la sécurité est un élément fondamental. À mesure que le paysage numérique s'étend, la protection de vos informations personnelles et financières devient de plus en plus cruciale. Nous nous engageons à maintenir des mesures de sécurité robustes. Voici notre approche pour garantir la protection de vos données chez Booksy :

Chiffrement au repos et en transit : Nous prenons la sécurité de vos données très au sérieux, qu'elles soient stockées ou en cours de transmission. Nous utilisons un chiffrement puissant pour les protéger contre tout accès non autorisé, garantissant ainsi que vos informations restent sûres et confidentielles à tout moment.

Aucune information de paiement stockée : Nous avons choisi de ne pas stocker vos informations de carte bancaire sur nos serveurs. À la place, nous travaillons avec des processeurs de paiement certifiés, spécialisés dans le traitement sécurisé des paiements. Ces processeurs sont certifiés PCI DSS, offrant ainsi une sécurité supplémentaire à vos transactions financières. De plus, notre fournisseur d'hébergement, Google, est certifié selon plusieurs normes, garantissant une protection complète à tous les niveaux de notre infrastructure.

Sécurité dès la conception : La sécurité est au cœur de la conception de notre application. Nous appliquons des paramètres par défaut sécurisés et effectuons des analyses quotidiennes de notre code et de ses dépendances. Toute vulnérabilité potentielle est traitée rapidement, afin de garantir que nos systèmes sont à jour et protégés contre les nouvelles menaces.

Accès basé sur les rôles : Chez Booksy, l'accès est adapté aux rôles de chaque employé. Cela signifie que les employés n'ont accès qu'aux informations et outils nécessaires à l'exercice de leur fonction. C'est une façon simple et efficace de sécuriser les données sensibles et de minimiser les risques de fuites.

Tests rigoureux et surveillance : Notre équipe de sécurité interne teste régulièrement nos applications pour détecter d’éventuelles vulnérabilités, et des tests de pénétration annuels sont réalisés par des experts externes. De plus, nos applications sont continuellement surveillées, nous permettant de détecter et de répondre rapidement à d'éventuelles attaques. Cette approche proactive garantit un haut niveau de résilience et d'intégrité opérationnelle.

Journalisation complète : En cas d’incident, nos capacités de journalisation nous permettent de retracer rapidement les événements et de comprendre leur enchaînement. Cette capacité de réponse rapide est cruciale pour atténuer les risques et sécuriser notre plateforme contre de futures menaces.

Programme de divulgation responsable : Nous croyons en la force de la communauté et de la collaboration. Notre programme de divulgation responsable invite les chercheurs en sécurité et les utilisateurs à signaler toute vulnérabilité potentielle. Cette approche nous aide à améliorer la sécurité et témoigne de notre engagement envers l'ouverture et l'amélioration continue.

Formation continue en sécurité : Il est essentiel de rester à jour sur les pratiques de sécurité. Nous offrons à nos employés une formation continue sur les pratiques et les protocoles de sécurité les plus récents. Cela garantit que notre équipe reste vigilante, applique de solides pratiques de sécurité et demeure consciente et responsable dans ses fonctions.

Chez Booksy, votre sécurité est notre priorité absolue. Nous nous engageons à vous offrir une plateforme digne de confiance, en améliorant constamment nos mesures de sécurité et en promouvant une culture de vigilance. Cela fait de Booksy un lieu sûr dans le monde numérique.

Politique de Divulgation Responsable

Chez Booksy, la sécurité de nos systèmes et des données qu'ils contiennent est cruciale, et nous traitons toutes les potentielles problématiques de sécurité avec la plus haute priorité. Nous faisons de notre mieux pour protéger les données des marchands et des clients de Booksy contre les menaces et encourageons tous les utilisateurs ainsi que les chercheurs en sécurité à signaler les vulnérabilités découvertes sur notre plateforme. Nous nous engageons à traiter les rapports de vulnérabilité de rapidement et avec la plus grande attention, sous réserve du respect de la présente Politique.

I. DÉFINITIONS

  1. Booksy : Booksy International spółka z ograniczoną odpowiedzialnością, dont le siège social est à Varsovie, adresse : ul. Prosta 67, étage 28, 00-868 Varsovie, inscrite au Registre des Entrepreneurs tenu par le Tribunal de district de Varsovie, Division commerciale XII du Registre judiciaire national sous le numéro KRS 0000515914
  2. Politique : La présente politique de divulgation responsable.
  3. Hall of Fame : La section de notre site web où nous remercions publiquement les contributeurs en affichant leurs prénom et nom pour avoir signalé une nouvelle vulnérabilité de sécurité jugée importante.

II. CHAMP D'APPLICATION

  1. Le programme de divulgation des vulnérabilités de Booksy couvre les produits suivants :
  2. Application Client de Booksy : https://booksy.com
  3. Application Professionnelle de Booksy : https://booksy.com/biz
  4. Applications mobiles de Booksy :
    • Booksy pour les Clients (Android, iOS)
    • Booksy Biz : pour les professionnels (Android, iOS)
  1. Bien que Booksy développe d'autres produits, nous demandons à tous les chercheurs en sécurité de soumettre des rapports de vulnérabilité uniquement pour les produits mentionnés dans la liste du point 1 ci-dessus, sous réserve du point 3 ci-dessous.
  2. Si vous pensez avoir identifié une vulnérabilité critique ou une fuite potentielle de données qui ne figure pas dans le champ d'application du point 1 ci-dessus mais qui pourrait tout de même affecter négativement les données de Booksy ou de ses utilisateurs, n'hésitez pas à nous contacter.

III. SIGNALER UNE VULNÉRABILITÉ

  1. Merci de partager les détails de la vulnérabilité de sécurité en envoyant un e-mail à notre équipe de sécurité à l'adresse : security@booksy.com.
  2. Lors de votre signalement, veuillez inclure autant d'informations que possible, notamment des captures d'écran, les étapes détaillées pour reproduire le problème, les versions des applications concernées, ainsi que toute autre information susceptible de nous aider à traiter plus efficacement la vulnérabilité.

IV. PROCÉDURE DE DIVULGATION DES VULNÉRABILITÉS

  1. Vous communiquez les détails de la vulnérabilité de sécurité à notre équipe en suivant les étapes du point III ci-dessus.
  2. Nous accusons réception de votre soumission et vérifions la vulnérabilité. Notre première réponse est généralement envoyée sous 2 jours ouvrables.
  3. Si la vulnérabilité est jugée valide et dans le champ d'application, nous travaillons sur une correction en collaboration avec vous dans la mesure de vos disponibilités.
  4. Une fois la vulnérabilité corrigée par notre équipe produit, nous vous informons de la résolution et vous reconnaissons dans notre Hall of Fame, si vous le souhaitez.

V. RÈGLES D'ENGAGEMENT

  1. Nous vous demandons de respecter les règles suivantes à tout moment :
    • Ne pas consulter ou stocker de données non publiques de Booksy (sauf celles nécessaires pour documenter et signaler une vulnérabilité potentielle).
    • Ne pas tenter d'accéder ou de modifier les données appartenant à d'autres utilisateurs de Booksy.
    • Ne pas exécuter d'attaques par déni de service ou compromettre la fiabilité et la disponibilité des services de Booksy.
    • Ne pas utiliser de scanners, d'outils automatisés ou d'autres outils susceptibles de générer un trafic excessif et d'impacter négativement la disponibilité du système.
    • Ne jamais tenter d'attaques non techniques telles que l'ingénierie sociale, le phishing ou des attaques physiques contre des personnes ou des systèmes.
    • Ne pas divulguer publiquement des vulnérabilités sans notre consentement préalable (divulguer uniquement selon la procédure en point IV ci-dessus).

VI. CE QUE VOUS DEVEZ SIGNALER

  1. Lors de votre prise de contact, essayez de créer une attaque en preuve de concept (avec capture d'écran si nécessaire) ou un script exploitant le problème. Si le scénario d'attaque proposé s'avère irréaliste, votre rapport pourrait être rejeté avec accusé de réception.

Vulnérabilités éligibles :

  1. Vulnérabilités d'injection ;
  2. Vulnérabilités XSS fonctionnant dans des navigateurs pris en charge ;
  3. Problèmes d'authentification ou de gestion de session, permettant un accès non autorisé aux données sensibles ou des prises de contrôle de compte ;
  4. Vulnérabilités entraînant l'exécution de code arbitraire ou la lecture de fichiers/données sensibles (RCE, LFI, RFI, SSRF, XXE) ;
  5. Problèmes de contrôle d'accès (escalade de privilèges, IDOR, CSRF) ;
  6. Fuites d'informations sensibles (PII, données de réservation, clés API sensibles, fichiers de configuration) ;
  7. Vulnérabilités de logique métier permettant de contourner le flux prévu et de causer des dommages à Booksy ou à ses utilisateurs ;
  8. Autres vulnérabilités ayant un impact négatif démontrable sur la sécurité des données et des systèmes de Booksy.

Vulnérabilités non éligibles :

  1. Configuration sous-optimale des en-têtes HTTP (sauf si vous pouvez prouver un impact non théorique de cette configuration) ;
  2. Configuration sous-optimale des protocoles SSL/TLS (sauf si vous pouvez prouver un impact non théorique de cette configuration) ;
  3. Vulnérabilités XSS fonctionnant uniquement sur des navigateurs non pris en charge ou obsolètes, ou nécessitant une action peu probable de la part d'un utilisateur averti (par exemple, appuyer sur une combinaison de touches) ;
  4. Vulnérabilités liées à l'énumération des utilisateurs ou des e-mails ;
  5. Divulgations de chemins de fichiers ou problèmes de gestion des erreurs ne présentant pas de risque significatif ;
  6. Attaques de clickjacking ou de phishing utilisant des techniques d'ingénierie sociale pour abuser des utilisateurs, alors que le système fonctionne comme prévu ;
  7. Politiques de mot de passe sous-optimales.
  8. Déni de service (DoS) non permanent et DoS distribué (DDoS) qui maintient l'épuisement des ressources (CPU/réseau/mémoire) via un flux soutenu de requêtes/paquets ;
  9. Vulnérabilités mobiles liées à une protection insuffisante contre l’ingénierie inverse ou à des vulnérabilités côté client nécessitant, par exemple, un appareil compromis pour être exploité ;
  10. Divulgation d'informations ne présentant pas de risques significatifs (par exemple, le type de serveur) ;
  11. Configuration sous-optimale des politiques de sécurité des e-mails (par exemple, DKIM, DMARC).
  12. Si vous avez des questions concernant la portée des vulnérabilités à signaler, n’hésitez pas à nous contacter.

VII. RÉCOMPENSES

  1. Si vous signalez une vulnérabilité non dupliquée qui est confirmée comme ayant un impact significatif (voir la section du point VI ci-dessus), nous serons heureux d'inclure votre nom dans la section Hall of Fame de Booksy, si vous êtes d'accord.
  2. Si la vulnérabilité signalée a un impact majeur sur la sécurité de Booksy, telle qu'une divulgation d'informations très sensibles, un accès à distance à des systèmes centraux, etc., vous pourriez recevoir une récompense supplémentaire.

VII. HALL OF FAME

Nous tenons à remercier les personnes suivantes pour leur contribution à l'amélioration de la sécurité globale de Booksy :

2022

   Takshal Patel

   Mubassir Patel

   Nikhil Rane

   Shivansh Khari

   Sam Crowther

   Opinder Singh

2023

   Mohamed Shibil

   Robert Muchacki