Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Last update: Aug 21st 2024

Politique de divulgation des vulnér

Introduction 

Object First s'efforce d'aider nos partenaires et clients à minimiser le risque associé aux vulnérabilités de sécurité dans nos produits. Conformément à notre engagement envers la promesse Secure by Design de la CISA, nous nous engageons à maintenir les meilleures pratiques de l'industrie en matière de sécurité et de gestion des vulnérabilités et visons à fournir aux clients des informations, des conseils et des options d'atténuation en temps utile pour traiter les vulnérabilités.  

Gestion des Rapports de Vulnérabilité 

Nous valorisons les perspectives des partenaires de l'industrie et des chercheurs en sécurité, et apprécions toutes les contributions à nos initiatives de sécurité.  Notre objectif est de garantir que des remèdes et/ou des stratégies d'atténuation soient disponibles au moment de la divulgation des vulnérabilités spécifiques à Object First, et de travailler avec des fournisseurs tiers lorsque la remédiation nécessite leur collaboration. 

Si vous pensez avoir découvert une vulnérabilité, un problème de confidentialité, des données exposées ou d'autres problèmes de sécurité dans l'un de nos actifs, nous souhaitons avoir de vos nouvelles. Cette politique décrit les étapes pour nous signaler des vulnérabilités, ce que nous attendons et ce que vous pouvez attendre de nous. 

Conformément à cette politique, toutes les informations divulguées concernant de nouvelles vulnérabilités sont considérées comme confidentielles et ne doivent être partagées qu'entre Object First et la partie qui signale si l'information n'est pas déjà de notoriété publique jusqu'à ce qu'un remède soit disponible et que les activités de divulgation soient coordonnées. 

Systèmes Concernés 

Cette politique s'applique à tous les actifs fabriqués, vendus, possédés, exploités ou maintenus par Object First. 

Hors du Champ d'Application 

  • Actifs ou autres équipements non possédés par des parties participant à cette politique. 

Les vulnérabilités découvertes ou suspectées dans des systèmes hors du champ d'application doivent être signalées au fournisseur approprié ou à l'autorité compétente. 

Nos Engagements 

Lorsque vous travaillez avec nous, conformément à cette politique, vous pouvez vous attendre à ce que nous : 

  • Répondre rapidement à votre rapport et travailler avec vous pour comprendre et valider votre rapport. 
  • S'efforcer de vous tenir informé de l'avancement d'une vulnérabilité au fur et à mesure de son traitement. 
  • Travailler à remédier rapidement aux vulnérabilités découvertes, dans nos contraintes opérationnelles. 
  • Accorder un Safe Harbor pour votre recherche de vulnérabilités liée à cette politique. 

Nos Attentes 

En participant à notre programme de divulgation des vulnérabilités de bonne foi, nous vous demandons de : 

  • Respecter les règles, y compris suivre cette politique et d'autres accords pertinents. S'il y a une incohérence entre cette politique et d'autres termes applicables, les termes de cette politique prévaudront. 
  • Signaler rapidement toute vulnérabilité que vous avez découverte. 
  • Éviter de violer la vie privée des autres, de perturber nos systèmes, de détruire des données et/ou de nuire à l'expérience utilisateur. 
  • Utiliser uniquement les Canaux Officiels pour discuter des informations sur les vulnérabilités avec nous. 
  • Nous accorder un délai raisonnable (minimum 90 jours à partir du rapport initial) pour résoudre le problème avant de le divulguer publiquement. 
  • Effectuer des tests uniquement sur des systèmes dans le champ d'application et respecter les systèmes et activités qui sont hors du champ d'application. 
  • Si une vulnérabilité permet un accès non intentionnel aux données, limiter la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement une Preuve de Concept. De plus, cesser les tests et soumettre un rapport immédiatement si vous rencontrez des données utilisateur pendant les tests, telles que des Informations Personnellement Identifiables (PII), des Informations de Santé Personnelles (PHI), des données de carte de crédit ou des informations propriétaires. 
  • Vous ne devez interagir qu'avec des comptes de test que vous possédez ou avec l'autorisation explicite du titulaire du compte. 
  • Ne divulguez pas les détails de la vulnérabilité tant qu'Object First n'a pas confirmé la correction. 
  • Ne stockez aucune donnée découverte pendant le processus de test. 
  • Ne vous engagez pas dans l'extorsion. 

Canaux Officiels 

Veuillez signaler les problèmes de sécurité via mailto:[email protected], en fournissant toutes les informations pertinentes. Plus vous fournissez de détails, plus nous pouvons trier et traiter rapidement le problème. 

Safe Harbor 

  • Lorsque vous effectuez des recherches sur les vulnérabilités dans le cadre de cette politique, nous considérons que cette recherche est : Autorisée concernant toutes les lois anti-hacking applicables, et nous n'initierons ni ne soutiendrons d'action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique; 
  • Autorisé concernant toutes les lois anti-contournement pertinentes, et nous ne porterons pas de réclamation contre vous pour contournement des contrôles technologiques; 
  • Exempt des restrictions dans nos Conditions de Service (TOS) et/ou Politique d'Utilisation Acceptable (AUP) qui interféreraient avec la réalisation de recherches en sécurité, et nous renonçons à ces restrictions sur une base limitée ; et 
  • Légal, utile à la sécurité globale d'Internet, et effectué de bonne foi. 

Vous êtes censé respecter toutes les lois applicables dans vos recherches, tests et rapports. Si un tiers engage une action en justice contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées en conformité avec cette politique. 

Si vous avez des préoccupations ou si vous n'êtes pas certain que votre recherche en sécurité soit conforme à cette politique à tout moment, veuillez soumettre un rapport à [email protected].  

Notez que le Safe Harbor ne s'applique qu'aux réclamations légales sous le contrôle de l'organisation participant à cette politique et que la politique ne lie pas les tiers indépendants.