Infrastructure
Hootsuite utilise à la fois des serveurs cloud et des serveurs physiques dans son infrastructure. Notre cloud est approvisionné par un fournisseur de premier rang très connu. Nos serveurs physiques se situent dans les datacenters Tier-4 et possèdent pleine capacité, refroidissement et redondance du réseau.
Sécurité
Vos informations nous sont précieuses et nous faisons de notre mieux pour les protéger. Nous les stockons sur des hôtes multiples dans différents endroits et les sauvegardons régulièrement, jusqu'à quatre fois par jour par banque de données. Les données stockées sur nos serveurs physiques sont protégées par des verrous biométriques, plusieurs couches d'accès hautement sécurisées, et une surveillance intérieure et extérieure 24h/7j.
Organiser la sécurité
Seule notre équipe d'ingénieurs peut accéder à notre environnement de production. Les clés SSH ou jetons Kerberos sont nécessaires pour accéder à la console des serveurs, dans tous nos environnements. Nous avons automatisé les procédures en place qui surveillent chaque hôte pour les essais de connexion non autorisée : les adresses IP indésirables sont automatiquement placées sur liste noire et l'alerte est donnée.
Droits sur les données
Hootsuite Media Inc. utilise des vendeurs tiers et des partenaires d'hébergement afin de fournir le matériel, logiciel, réseautage, stockage et autres technologies connexes nécessaires au fonctionnement de Hootsuite. Bien que Hootsuite Media Inc. possède le code, les bases de données et tous les droits pour l'application Hootsuite, vous conservez tous les droits sur vos données.
Data Protection
In 2016 the European Commission approved and adopted a new framework for European data protection law called the General Data Protection Regulation (GDPR). The GDPR requirements will become effective on May 25, 2018 and will affect all companies who process personal data of individuals in the EU.
More information on the General Data Protection Regulation (GDPR).
Comment signaler un incident de sécurité
Chez Hootsuite, nous prenons la sécurité très au sérieux et avons un programme de récompense pour les bugs de sécurité, axé sur l'identification et la résolution des problèmes de sécurité. Hootsuite offre les récompenses suivantes en fonction de la gravité des découvertes :
Critique
$100 CAD Amazon eGift Card.
Haute
$75 CAD Amazon eGift Card.
Moyenne
$50 CAD Amazon eGift Card.
All of the gift cards are from the domain of the researcher’s choosing.
If your finding is of medium, high, or critical severity we offer to include your name in our Hall of Fame (see below for our current list). We do not offer rewards for low severity issues.
If you are interested in submitting your findings for review, please email hootsec@hootsuite.com. Please note that, upon your submission, it might take up to 5 business days to triage and identify the right severity for the issue. If Hootsuite is already aware of the issue, we do not offer any reward for the finding. We request you not to share or publish an unresolved vulnerability with any third parties.
Veuillez vous assurer que les résultats que vous soumettez sont reproductibles et ne constituent pas des problèmes d'auto-exploitation. Assurez-vous d'inclure le contenu suivant dans la soumission :
Title of the finding
Description of the finding
Location of the finding (product module/page)
Steps to reproduce (include Request/Response logs if applicable)
Screen shots/Video recording (if applicable)
Sévérité
Ineligible vulnerability types
Veuillez noter que Hootsuite ne considère pas les vulnérabilités suivantes comme éligibles dans le cadre de ce programme :
Vulnérabilités dans les composants tiers/open source
Distributed Denial of Service
Social Engineering/phishing issues
Email bomb/flooding
Findings from the automated scanners which are not triaged
Divulgation des numéros de version du serveur ou du logiciel
Password strength or policy
Security issues which can only be exploited with jailbroken or rooted devices.
Self exploitation attacks.
Vulnerabilities which can be only exploited in outdated browsers
Vérifications d'intégrité des sous-ressources
Header misconfigurations or missing security headers without evidence of the ability to target a remote victim
Unclaimed social media accounts, links or domains which look similar to Hootsuite.
Problèmes de DMARC/SPF
Issues related to TLS/SSL versions
For incidents that affect a single account, please contact Hootsuite Help, they are your fastest response for single-user security issues.
Hootsuite’s InfoSec team commitment
Une fois que vous aurez soumis vos conclusions, notre équipe de sécurité de l’information et les équipes de développement associées s’engagent à :
Acknowledge the reported finding
Provide an estimate to triage the vulnerability and identify whether it is a true positive or false positive.
If it is a true positive provide an estimate on timelines to fix the finding
Inform you once your finding is remediated
If applicable send you awards as described above.
We appreciate the efforts of every individual researcher who submits a vulnerability report and helps us in improving the Hootsuite’s security posture.
Divers
Hootsuite reserves the right to cancel this program at any time and the decision to pay a bounty is entirely at our discretion. The testing must not violate any law, disrupt and/or compromise any data that is not your own. Additional restrictions might be applied on the bounty depending on your local laws.
Failure to follow any of the above mentioned rules will disqualify you from participating in this program.
Merci
We respect the effort and skill that goes into finding and disclosing security flaws. We are grateful for the generosity and support of the following individuals and/or organizations:
Abdelali Khalfi Kaushik Roy Russel Laurio Ahmed Adel Abdelfattah Balvinder Singh Rafael Pablos Abbassi Ahmed Jalal Ma La Hussain Adnan | Ajay Kulal Abiral Shrestha Mostafa Mahmoud Ashour Hasibul Hasan Haris Ahmed |