Report a vulnerability

Politique de Divulgation Responsable des Vulnérabilités

Responsible Vulnerability Disclosure Policy

1. Introduction/Introduction

La sécurité des systèmes d'information de Market Pay est une priorité. Cette politique vise à établir un cadre clair, sécurisé et conforme pour la divulgation responsable des vulnérabilités découvertes sur nos actifs numériques. Elle permet aux chercheurs en sécurité d’interagir avec nous de manière encadrée, responsable et dans un esprit de collaboration.

The security of Market Pay’s information systems is a priority. This policy aims to provide a clear, secure and compliant framework for the responsible disclosure of vulnerabilities identified in our digital assets. It allows security researchers to engage with us in a structured, responsible, and collaborative manner.

2. Cadre juridique / Legal Framework

Nous nous engageons à respecter le RGPD, la Directive NIS2, la Loi pour une République Numérique (France), la Convention de Budapest, ainsi que les normes ISO/IEC 29147 & 30111, et les recommandations du NIST, ENISA, CISA.

We are committed to complying with GDPR, the NIS2 Directive, the French Digital Republic Act, the Budapest Convention, as well as ISO/IEC 29147 & 30111 standards, and the recommendations of NIST, ENISA, and CISA.

3. Engagements de Market Pay / Our Commitments

  • Nous ne poursuivrons pas pénalement ou civilement toute personne respectant strictement cette politique.
  • Nous traiterons les signalements de bonne foi avec sérieux et respect.
  • Nous accuserons réception dans un délai de 48 heures ouvrées.
  • Nous tiendrons informé le chercheur des étapes clés de l’évaluation et de la résolution.

 

  • We will not pursue any legal action, either civil or criminal, against individuals who strictly adhere to this policy.
  • We will treat good faith reports with seriousness and respect.
  • We will acknowledge receipt within 48 business hours.
  • We will keep the researcher informed of key evaluation and resolution steps.

4. Périmètre autorisé / Authorized Scope

Les systèmes et services suivants sont couverts par cette politique :

  • PayWish, 
  • Pay On Site, 
  • Pay Online, 
  • Tap to Pay, 
  • Market Pay Hub, 
  • Market Pay Docs et 
  • Market Pay Assist de Market Pay. 

En dehors de ce périmètre, aucune action de test n’est autorisée.

The following systems and services are covered by this policy: 

  • PayWish, 
  • Pay On Site, 
  • Pay Online, 
  • Tap to Pay, 
  • Market Pay Hub, 
  • Market Pay Docs, and 
  • Market Pay Assist. 

Testing outside this scope is not permitted.

5. Comportements Autorisés et Interdits / Allowed and Prohibited Methods

✅ Ce que vous pouvez faire :

  • Réaliser des tests non intrusifs pour identifier une faille potentielle (ex. : XSS, injection SQL, mauvais contrôle d’accès).
  • Tester uniquement vos propres comptes ou des environnements de test.
  • Documenter et signaler avec précision les preuves de la vulnérabilité.

❌ Ce que vous ne devez pas faire :

  • Lancer des attaques de type DDoSransomware, ou brute-force.
  • Exploiter la faille au-delà de la preuve de concept.
  • Utiliser l'ingénierie sociale ou tromper des utilisateurs ou employés.
  • Accéder, copier, modifier ou supprimer des données personnelles ou sensibles.
  • Rendre publique la vulnérabilité sans notre accord écrit.

 

✅ What you can do:

  • - Conduct non-intrusive testing to identify a potential flaw (e.g., XSS, SQL injection, improper access control).
  • - Only test your own accounts or test environments.
  • - Accurately document and report evidence of the vulnerability.

 

❌ What you must not do:

  • - Launch DDoS, ransomware, or brute-force attacks.
  • - Exploit the flaw beyond the proof of concept.
  • - Use social engineering or deceive users or employees.
  • - Access, copy, modify, or delete personal or sensitive data.
  • - Publicly disclose the vulnerability without our written consent.

6. Procédure de signalement / How to Report

Canal de signalement :

  • Adresse email dédiée : Envoyez un email à vulnerability-report@market-pay
  • Nous vous demandons d’utiliser notre clé PGP
  • PGP key disponible ici : [Lien vers clé PGP]

Informations à fournir :

  • Description détaillée de la vulnérabilité
  • Étapes de reproduction
  • Périmètre concerné
  • Impact potentiel
  • Données techniques ou captures d’écran

Traitement du signalement :

  • Accusé de réception sous 48 heures ouvrées
  • Évaluation de la criticité basée sur le score CVSS
  • Correction dans un délai raisonnable en fonction de l’impact
  • Communication régulière avec le chercheur

Reporting channel:

  • Dedicated email address: vulnerability-report@market-pay
  • Please use our PGP key available here: [Link to PGP key]

Information to include:

  • Detailed description of the vulnerability
  • Reproduction steps
  • Affected scope
  • Potential impact
  • Technical data or screenshots

Report handling:

  • Acknowledgement within 48 business hours
  • Severity assessment based on CVSS score
  • Resolution within a reasonable timeframe depending on the impact
  • Ongoing communication with the researcher

7. Conditions Générales/ General Conditions

  • Pas de récompense financière : Nous ne proposons pas de bug bounty dans ce cadre.
  • Confidentialité : Le contenu de votre rapport reste confidentiel. De notre côté, nous ne divulguerons pas votre identité sans votre consentement.
  • Publication : Nous nous réservons le droit de publier un avis de sécurité avec remerciement anonyme ou public, selon nos préférences.

 

  • No financial reward: We do not offer a bug bounty under this policy.
  • Confidentiality: The content of your report remains confidential. We will not disclose your identity without your consent.
  • Publication: We reserve the right to publish a security notice with anonymous or public credit, depending on your preferences.

8. Sécurité des Échanges/ Communication Security

  • Utilisation obligatoire de HTTPS
  • Chiffrement PGP pour les emails
  • Authentification renforcée pour accéder à nos plateformes internes de traitement
  • Journalisation de tous les signalements pour traçabilité

 

  • Mandatory use of HTTPS
  • PGP encryption for emails
  • Strong authentication for access to internal processing platforms
  • Logging of all reports for audit trail

 

9. Accès à cette politique / Access to this Policy

  • Cette politique est disponible à l'adresse https://www.votreentreprise.com/security-policy
  • Elle sera communiquée aux communautés de sécurité via [GitHub, forums, etc.]
  • Nos équipes internes sont formées à sa mise en œuvre

 

  • This policy is available at https://www.entreprise.com/security-policy
  • It will be shared with security communities via GitHub, forums, etc.
  • Our internal teams are trained in its implementation

 

10. Clause de non responsabilité / Legal Disclaimer

 

Tout comportement en dehors du cadre défini peut entraîner des poursuites. Cette politique ne constitue pas une autorisation d’intrusion.

Any behavior outside the defined framework may result in legal action. This policy does not constitute authorization for intrusion.

 

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: Mailvelope v4.4.0

Comment: https://www.mailvelope.com

 

xsFNBGCZDCQBEACvsEZ3oeW6TEDQW9G6um3BHuEMFMGdNExHtm7aT6xVO2JF

ZOLYAKLlXsrdAlcum5HpLqlaJWA5glBCFkXvzx2NIG7/ZCegQHrQon4RJYU2

C7efTyF6JqodKDyfekqSjK+6I3hnzn/RQ65ioQuP6QasgOofnh2s4IbwBOAL

6C9zMKFMuPCN5BY1c8fWamwQIaoY/38xHrCstYglEhBEiyXrbJf7fjeBdXQs

fI2zkwqQhxA6EqhcX3LXyX/hUD8d/Hg1j14EGCcSQ3Bug4CXVpd5R6IMVhJj

XI6JbKznEsPKTLXTHhBOX68W7iQrPAuOuh8fKDbVA1gr4slzg9o2/K+p3g2G

TfjeVY8/g+pau6lUG2xFOuvCkVf8+iI3ZbmXqbDNFDZh6R10rvFYpMII8REm

6RBZptfcjS/8+rwDFRCmVr31o4C2U0Ih2LZUaiHe9yw+5ALbHT9iC8wQsXDC

AxGkk4V8rFOxRqfVi/Nm4yg9rx5PSsUiWN+nocoBFJchm7mVETT6OiNcwMwY

LYl0+V9LF7dv9wKmDfWrnShh7UNb8Q6Aokf63MIGUJVj5pVVqkeHARWyLBQn

01V7sjRDAtbR1VsrU6uBokvu51pnv3JPSy8djwVqW1jRWyOqAlM2LFH4esUS

4GNYZ705SDrJpQblYwZVyzL1KrYt6UvU5CZXJQARAQABzSpTeWx2YWluIERF

UklOIDxzeWx2YWluX2RlcmluQG1hcmtldHBheS5ldT7CwXUEEAEIAB8FAmCZ

DCQGCwkHCAMCBBUICgIDFgIBAhkBAhsDAh4BAAoJEJozH/JxW6jAf1EQAICh

7UJBX15OLSIwo6U0Kg7lyI+aVPb6Sx2lrLhunPHAb+F3njhjgRvcPKNqOT4E

rsQCZvQ5nsGPLavBRYdvIVGVOgfY6o8Zt8ohDtf0VUgVo/2AHGL1yW9jD0dt

NKXGzzO4Pv+gLCJ5Wh+IYLf+njWbH3lC+vg1JK7iakiw2HTNevgUaKjLxpzs

eByF4bxWS3NG3yRs/74xzb1V9JSJOOOpNNvmyzEJpWXKqy4HgpM9yE/rFIA9

OL88eRDRZWs5VhLFye8TXr4uqx9JhOiyJoz37Zl+nPVsg+doBaXeoj5cS9kE

ImBq8POhZkyLl+4jPgO4+MX0s3vHNHQEmf3A3k1IoAnZVHvOSKm18bnbBY1c

AHNiBNRbYbrrhYCQOusQ3DRdNQc3GGFZEGAetCISFLgQzf7nLrqUyNPcHJTU

HkfGMKGcYrystsiRAo3877oT3yZFPuXAb3pizjeFWbv5gv7zWqzDMzjmEePy

58r7JbFMqix7BBQmzN2JbeBW2bBqOhD++cNXZKl14GYRkeZNpTqi6HNC0pEK

/3tmAyprskLA6wYP5l2b00aHy2PPKaY2vHdL4R/9WFjaLYvjpRouQMbcdKAb

qp2Lhn9cqMRN/9CgNtvdgfdg5t/TZj15keICW26xm3aNRl0Zc1xgPq+glb7Z

Nt/XRYCKD1to5diRMu2BzsFNBGCZDCQBEADIk61gekx5mT7onSEAYsMLGu+h

CMZQz0dEmCk619rOO4Y922t06drIO01Xoo5geFtzhoJybU1xvM+PKr9QPfeT

7IDLxWahyha0Zsp9L7HkwrDdTZgCvzUDi8zip1pCyt+Ek8wMK1Nij9TFU1RG

LqISHBulVoGHeN7CR3ZAPz4R2umNLKRfn6E4Ocn/QMhkkjiECMiIZosL59cO

2KgAeN8AAsYDoF6yt1N7SFHv+cCTM80TI15n9/AOZiJ5zCiSkgsdscpfsSep

w3oNGotwbhsDqebR5Qi+RQB1syugK93OXyIbjoWtW+XPj61qzwXHq+Ea+Wgb

3enB3KF+TA27IOyPs7YKTf0Xn3McS3LndazD5Rfy5efHjQMSkOOlode9fkhI

dIAKYq/q8b2L6U6SuOyfY3DRvUcRxqF7/JEhnwt8T6RJqBBu8I4fdjP1VCJZ

m94wb2BxkKFV3q++OYZiJ+kq4M+rt/T71pWvrSZHeDAkIqI2TN6p7LA5966b

erzZeyDGtqf2zhcY75kZ0ITNcRiRBzwpkk1GnIwiJHKa/dVEPZ2qQgBO88st

IozLu707AUVf7gIwD2Cb1fDdxDgRDL42HNjHVHgje7pzcWKV+CFtq+lZ94DP

zTL/926CRuDsYNd/ZQAsaNtDu2AZAG33SyEHRStFpKCR4LOzYMOI8qarkQAR

AQABwsFfBBgBCAAJBQJgmQwkAhsMAAoJEJozH/JxW6jAL08P/RwliLeFJi/d

jfnflyaScPL1f5o6BkKhwJhDWOOJ87ndmHkQq+c1FJ5Y3a385QaiweIAwHgC

mneDMHF/rDi7o+04O7l15Uz3AEdoUYD6sG3Apd/ZPfkEdAizRJsus5jQ9Dds

qN8/4Vpv5RBBCRx6GXpGrakdXx23UcP8Z58F1okNxBnn9CItDkOzLIQV94BB

0CVBmxcYPUBiZJE7BYYEq3EinhBK0uWciIZBfLV4AAbA8tqQWl7/VOfGqLSX

gFaT5rzTTOxWshXJiE6AnRg4EB5FsMklJYWgtxreV2SVtPSZNcJzdQJlQfB5

AUWP46p5FytqhvNQ1Rpa3m1SdrKKDY+2XkCxmNbPoWf9MOfazDURnoZ0jPF1

7bW6erGfBnK+5Erzo3Z6xApdA2ht2+Tflsr7fNM/5MyOPHhVoqbQEOB0qYgU

J5dWM/DTXeHZ53rqF3MIOzR+ZSPMY4iRnspomyFWXVmGgJsxKq/ZRCsOPYt6

yj0ZBypvwSJDHfyM0Ays2+ak7JgVnxi8b2zsW89KwV3jXq+EJkimZ1xzc5gR

KemgLpoc22w0Nlqu6C7Ks7rgOFNm6pe4tyLrSj4ASjh86kbqzVGjbdWGj+8F

QeIgfzE+dQQ9iw4MpaggorT/dxvv/91+Osw5Cl35BXwUDIQRsd4kpMaFmv7C

NSLozk7iOi4u

=1W2l

-----END PGP PUBLIC KEY BLOCK-----