Vulnerability Disclosure Policy (VDP): Atupri Assurance de la santé SA

Atupri salue la contribution de chercheurs indépendants en sécurité, qui contribuent de manière responsable à la sécurité de nos données, de nos assurés et de nos services numériques. Nous encourageons le signalement éthique des vulnérabilités de nos actifs numériques.
Signaler une vulnérabilité
Also available in english

1. Champ d’application

Dans le périmètre:

tous les actifs numériques accessibles au public qui sont en possession d’Atupri Assurance de la santé SA ou que nous exploitons et gérons.

Hors périmètre:

composants système, infrastructures ou services mis à disposition ou contrôlés par des prestataires tiers.

  • Les vulnérabilités de tels systèmes doivent être signalées directement au fournisseur concerné.
  • Si un signalement nous parvient malgré tout via notre canal, nous le transmettons; la responsabilité reste du ressort du propriétaire du système.

2. Obligations d’Atupri

Lors de la collaboration avec nous dans le cadre de cette politique, vous pouvez attendre de nous ce qui suit:

  • Accusé de réception rapide de chaque signalement.
  • Aide à la reproduction et à la validation de la vulnérabilité.
  • Information régulière sur le statut du traitement.
  • Estimation appropriée de la durée de dépannage.
  • Notification après correction réussie.
  • Reconnaissance des signalements uniques et importants pour la sécurité.
  • Octroi d’une sphère de sécurité légale pour la recherche de bonne foi en matière de sécurité.

3. Attentes envers les chercheurs en sécurité

Si vous participez à notre Vulnerability Disclosure Programm, nous attendons de vous:

  • Respect de cette politique et des lois en vigueur.
  • Signalement immédiat des vulnérabilités découvertes.
  • Ne pas exploiter ou réutiliser la vulnérabilité sauf pour le signalement.
  • Respect de la protection des données, de la stabilité du système et de l’intégrité des utilisateurs.
  • Utilisation exclusive des canaux de signalement officiels.
  • Traitement confidentiel des détails conformément à la politique.
  • Accès aux données uniquement dans la mesure absolument nécessaire.
  • Renonciation à toute créance liée au signalement.
  • Octroi d’un délai de 90 jours pour remédier à la situation.
  • Coordination de chaque publication envisagée avec Atupri.

4. Activités interdites

Nous vous encourageons à nous signaler toutes les vulnérabilités que vous avez découvertes, mais les activités suivantes sont strictement interdites dans le cadre de cette politique.:

  • Hameçonnage, spam, force brute, déni de service.
  • Manipulation, destruction ou effacement de données.
  • Attaques physiques ou ingénierie sociale à l’encontre des collaborateurs, des assurés ou des partenaires.
  • Activités susceptibles d’affecter la disponibilité ou le fonctionnement de nos systèmes.

5. Divulgation coordonnée (CVD)

Notre politique autorise la publication si les conditions suivantes sont remplies (Coordinated Vulnerability Disclosure):

  • Publication uniquement après confirmation par Atupri que la vulnérabilité a été corrigée.
  • Publication possible après 90 jours sous réserve d’une coordination préalable.
  • Pas de publication de détails techniques tels que les exploits ou le code de preuve de concept.

6. Canaux de signalement officiels

Les signalements se font exclusivement via le canal officiel d’Atupri pour les signalements de sécurité:
Signaler une vulnérabilité

Les informations suivantes sont particulièrement utiles pour un traitement efficace:

  • Description technique de la vulnérabilité, y compris:

    • Informations de navigateur utilisées (type et version)
    • Informations importantes sur les composants et appareils connectés
    • Plateforme(s) et URL(s) concernée(s)
  • Exemple de code de démonstration de la vulnérabilité et/ou étapes détaillées de la reproduction
  • Évaluation des menaces/risques
  • Date et heure de la découverte
  • informations de contact
  • Éventuels projets de publication, le cas échéant

Veuillez noter que ces canaux ne peuvent être utilisés que pour signaler des vulnérabilités non divulguées et non pour d’autres demandes d’assistance ou d’information. Les demandes qui ne concernent pas des vulnérabilités non publiées ne recevront pas de réponse.

7. Legal Safe Harbor

  • Nous n’engagerons pas de poursuites civiles ou de dénonciations auprès des autorités de poursuite pénale à l’encontre des participants à ce programme en raison de violations involontaires de la politique, pour autant qu’elles aient été commises de bonne foi
  • Nous n’interprétons pas les activités des participants qui respectent la présente politique comme un accès non autorisé au sens du Code pénal suisse. Cela comprend les articles 143, 143bis et 144bis du Code pénal suisse.
  • Nous ne déposerons aucune plainte contre les participants qui tentent de contourner les mesures de sécurité mises en place pour protéger les services mentionnés dans la présente politique.
  • Si une action en justice est intentée par un tiers contre un participant et que le participant a agi conformément à la présente politique, nous prendrons les mesures nécessaires pour informer les autorités que les actions de ce participant ont été menées conformément à la présente politique.
  •  Un avertissement peut être émis en cas d’infractions mineures. En cas d’infraction grave, nous nous réservons le droit de déposer une plainte pénale.

Comme toujours, vous êtes tenus de respecter toutes les lois en vigueur. Si, à quelque moment que ce soit, vous avez des réserves ou des doutes quant à la conformité de vos tests et de vos activités avec cette politique, veuillez nous en aviser via l’un de nos canaux officiels avant de poursuivre vos activités.

Notez que la sphère de sécurité légale ne s’applique qu’aux prétentions juridiques qui sont sous le contrôle d’Atupri Assurance de la santé SA et que la politique ne lie pas les tiers indépendants.

La présente politique est soumise au droit suisse. Le for exclusif pour tous les litiges découlant de la présente politique ou en relation avec celle-ci est Berne, Suisse.

Vulnerability Disclosure Policy (VDP)

Atupri acknowledges the valuable role of independent security researchers acting in good faith to help maintain the safety and security of our, our citizens’ and our customers’ data and the reliability of our products and services. We therefore welcome responsible reporting of any vulnerabilities identified in digital assets owned, operated or maintained by us.

This policy outlines the steps for reporting vulnerabilities to us. Please review the policy carefully before you test and/or report a vulnerability. We are committed to collaborate with security researchers to verify and address any potential vulnerabilities that will be reported.

Scope:

Any public-facing digital assets owned, operated, or maintained by Atupri.

Out of Scope:

Please note that we use services from other companies and/or organizations for some parts of our systems and infrastructure.

Vulnerabilities discovered or suspected in those systems should be reported to the appropriate entity, vendor or applicable authority. Otherwise, we will bring the vulnerability to the attention of the relevant organization, the owner of the affected IT system remains responsible for the system and potential remediation activities, however.

Our Commitment

When working with us, according to this policy, you can expect us to:

  • Respond in a timely manner, acknowledging receipt of your vulnerability report
  • Work with you to understand and validate your report
  • An open dialog to discuss issues
  • Work to remediate discovered vulnerabilities in a timely manner
  • Provide an estimated time frame for addressing the vulnerability report
  • Strive to keep you informed about the progress of a vulnerability as it is processed
  • Notify you when the vulnerability has been fixed
  • Recognize your contribution if you are the first to report a unique vulnerability, and your report triggers a code or configuration change. 
  • Provide a legal Safe Harbor for your vulnerability research that is related to this policy

Our Expectations

In participating in our vulnerability disclosure program, we ask you to:

  • Play by the rules and instructions described in this policy
  • Don’t breach any applicable laws in connection with your report and your interaction with us
  • Report any vulnerability you’ve discovered promptly
  • Don’t exploit or use in any manner the discovered vulnerabilities other than for the purposes of reporting to us
  • Avoid violating the privacy of others, disrupting our systems, destroying data, or harming user experience 
  • Use only the official disclosure channels to discuss vulnerability information with us 
  • Ensure the confidentiality of details of any discovered vulnerabilities according to this policy 
  • If a vulnerability provides unintended access to data: limit the amount of data you access to the minimum required for effectively demonstrating a Proof of Concept; cease testing and submit a report immediately 
  • You should only interact with test accounts you own or with explicit permission from the account holder 
  • Do not engage in extortion 
  • Provide us a reasonable amount of time to resolve the issue
  • Coordinate with us before disclosing vulnerabilities publicly

Atupri does not permit the following types of security research:

While we encourage you to report to us any vulnerabilities you find, the following conduct however is prohibited:

  • Performing actions that may negatively affect our systems or our customers (e.g. phishing, spam, brute force, denial of service, etc.)
  • Destroying or corrupting, or attempting to destroy or corrupt, data or information that does not belong to you
  • Conducting any kind of physical or electronic attack on our personnel, property, buildings or infrastructure
  • Social engineering our employees, customers or contractors

Coordinated Vulnerability Disclosure (CVD)

We value the effort of external security researchers who identify security vulnerabilities and disclose those vulnerabilities responsibly so that they can be fixed. Our policy is to allow publication, provided the following conditions are met (Coordinated Vulnerability Disclosure): 

  • The reporting individual does not publish the vulnerability prior to us confirming a fix has been released and that it is acceptable to publish
  • Optional: A publication is always considered acceptable after 90/120 days, coordination with us assumed
  • No publication of exact details of the issue, for example exploits or Proof-of-Concept code

Official Channels

Please report security issues via:
Report vulnerability

Do not submit reports from automated tools without verifying them. The more of the following details you provide, the easier it will be for us to triage and fix the issue:

  • Technical description of the vulnerability, including: 

    • Browser information (type and version) used  
    • Relevant information about connected components and devices  
    • Impacted platform(s) URL(s) 
  • Sample code to demonstrate the vulnerability and/or detailed steps to reproduce 
  • Threat/risk assessment 
  • Date and time of discovery 
  • Contact information 
  • Possible disclosure plans 

Please note that these channels are for reporting undisclosed security vulnerabilities only and must not be used for any other support or information requests. Inquiries sent there that do not relate to undisclosed security vulnerabilities will not receive any response.  

Legal Safe Harbor

  • We will not take civil action or file a complaint with law enforcement authorities against participants for accidental, good faith violations of this policy
  • We interpret activities by participants that comply with the policy as authorized access under the Swiss Penal Code. This includes Swiss Penal Code paragraphs 143, 143bis and 144bis.
  • We will not file a complaint against participants for trying to circumvent the security measures deployed in order to protect the services in-scope for this policy.
  • If legal action is initiated by a third party against a participant and the participant has complied with the policy as outlined in this document, we will take the necessary measures to make it known to the authorities that such participant’s actions have been conducted in compliance with this policy.
  • For minor breaches, a warning may be issued. For severe breaches, we reserve the right to file criminal charges.

You are expected, as always, to comply with all applicable laws. If at any time you have concerns or are uncertain whether your security research is consistent with this policy, please submit a report through one of our Official Channels before you continue your research.

Note that the Safe Harbor applies only to legal claims under the control of the organization participating in this policy, and that the policy does not bind independent third parties.
Avez-vous besoin d’aide?

Vous disposez des possibilités suivantes pour des informations, des modifications ou des communications:

Services en ligne
Questions fréquentes
Tel: 0800 200 888
Contact
Accès direct à
myAtupri
Newsletter
Service & Support
Carrière & Emplois
Portrait d’Atupri
En cas de questions sur l’assurance
Lu - Ve, de 8 h à 17 h
+41 800 200 888
Votre assurance pour une vie saine.
Logo inverted
Impressum
Mentions légales