Confidentialité et sécurité

Signaler une vulnérabilité

Programme de divulgation responsable 

À la TD, nous sommes déterminés à maintenir la sécurité de nos systèmes et de nos renseignements. Nous sommes reconnaissants de la contribution des experts, des chercheurs et de nos clients à cet objectif. Si vous êtes soumis aux exigences de la présente politique (selon la définition ci-dessous), nous considérerons vos activités de recherche comme relevant d’une conduite autorisée.

Si vous pensez avoir repéré une vulnérabilité potentielle en matière de sécurité dans une application TD, veuillez nous soumettre un rapport conformément à la présente politique. Pour toute question ou tout problème portant sur la présente politique, veuillez nous écrire : TD.ResponsibleDisclosure@td.com.

Remarque : Cette adresse sert à signaler une vulnérabilité potentielle en matière de sécurité dans une application TD. Si vous avez besoin de soutien concernant toute autre question, notamment une fraude potentielle, communiquez avec notre équipe du Service à la clientèle.

Même si nous apprécions l’aide que vous apportez au signalement des vulnérabilités potentielles en matière de sécurité, veuillez noter que la TD n’offre actuellement pas de programme de paiement de prime aux bogues ni de récompense ou de rémunération en échange de la soumission d’un rapport.

Merci à l’avance de votre collaboration.

Lignes directrices

  • La présente politique (la « Politique ») établit les modalités du programme de divulgation responsable de la TD (le « programme »). Afin de protéger la TD et vous-même, nous avons établi les exigences suivantes pour participer au programme :
  • Avoir au moins 18 ans ou avoir atteint l’âge de la majorité dans votre territoire (âge auquel une personne est considérée comme un adulte), ou avoir obtenu la permission de votre parent ou tuteur de participer au programme.
  • Mener des recherches en utilisant seulement les comptes que vous détenez ou avec le consentement exprès du titulaire du compte.
  • Vous conformer à l’ensemble des lois et règlements associés à votre recherche et à votre participation à ce programme.
  • Ne pas vous livrer à une activité, quelle qu’elle soit, qui pourrait nuire à la TD, à nos clients ou à nos employés.
  • Ne pas déclencher ou faciliter d’opérations frauduleuses.
  • En cas d’obtention de renseignements de la TD ou de données sur des clients, y compris des renseignements personnels permettant l’identification (nom, adresse, courriel, etc.), ou en cas d’accès à ces éléments dans le cadre de vos recherches en lien avec le programme, mettre immédiatement fin à l’activité, supprimer toutes les copies des données et nous signaler l’événement à TD.ResponsibleDisclosure@td.com.
  • Ne pas divulguer de renseignements relatifs à vos constatations à un tiers ou au grand public sans avoir obtenu l’autorisation écrite préalable de la TD.
  • Ne pas effectuer de tests non visés par la Politique, notamment portant sur la sécurité physique des biens de la TD, impliquant des attaques par piratage psychologique qui visent des clients ou des employés de la TD (p. ex. courriels ou sites d’hameçonnage) ou des attaques par refus de service ou épuisement des ressources, ou faisant appel à des outils de balayage en masse de réseau qui nécessitent un volume de trafic élevé et pourraient bloquer vos adresses IP.

Soumettre un rapport

La TD accueille favorablement les rapports sur les systèmes accessibles au public, comme les applications Web, les applications mobiles ou les services détenus, exploités ou contrôlés par La Banque Toronto-Dominion (y compris le Groupe Banque TD et TD Bank, America’s Most Convenient Bank). Veuillez noter que cela ne s’applique pas aux systèmes détenus, exploités ou contrôlés par TD Ameritrade.

Si vous avez des questions sur une application ou un domaine sur lequel vous souhaitez mener vos recherches, veuillez écrire à TD.ResponsibleDisclosure@td.com.

La TD s’intéresse particulièrement aux constatations concernant les 10 principales vulnérabilités définies par l’OWASP et celles qui pourraient avoir des répercussions démontrables sur la sécurité. Lors du signalement d’une vulnérabilité potentielle, veuillez fournir une description détaillée de vos constatations, notamment :

  1. l’adresse URL complète;
  2. les étapes suivies, de façon claire et concise;
  3. les outils utilisés durant l’exploration;
  4. les objets possiblement impliqués (p. ex. filtres ou champs de saisie);
  5. des éléments de preuve (p. ex. saisies d’écran);
  6. votre évaluation du risque (système de notation CVSS 3.1, de préférence);
  7. le scénario de l’attaque et l’exploitabilité de la vulnérabilité ainsi que ses répercussions en matière de sécurité;
  8. toute proposition de solution (non obligatoire).

Veuillez noter que nous n’exigeons ni n’avons besoin de recevoir de versions prêtes à être exécutées.

Obligations juridiques

En soumettant un rapport, vous confirmez que vous avez lu, compris, accepté et respecté la Politique. En outre, vous acceptez ce qui suit :

  • La TD peut prendre toutes les mesures nécessaires pour vérifier et atténuer les vulnérabilités potentielles.
  • La TD peut communiquer ou divulguer les constatations.
  • La TD peut recueillir, utiliser, communiquer ou divulguer les renseignements personnels que vous lui fournissez dans le cadre de votre rapport, dans le respect de la Politique de confidentialité.
  • Vous accordez à la TD tous les droits en lien avec votre rapport qui sont requis pour effectuer l’une des tâches ci-dessus.

Encore une fois, merci pour votre collaboration.

Outils et ressources

Comment nous contacter

  • Téléphone

    Représentant d’une succursale :
    1-866-233-2323

    Questions relatives à Financement auto TD (Canada) : 1-866-694-4392

    Questions relatives à TD Assurance : 1-888-791-5346

  • Poste

    Service à la clientèle Toronto-Dominion Centre, P.O. Box 193,
    Toronto (Ontario) M5K 1H6

  • Courriel et télécopieur

    customerfeedback@td.com

    Télécopieur : 1-877-983-2932