Nouveau
Demander une démonstration

Object First Politique de divulgation des vulnérabilités

Dernière mise à jour:

Introduction 

Object First s’engage à aider nos partenaires et clients à minimiser le risque associé à toute vulnérabilité de sécurité. En tant que cosignataire de l’engagement Conçu pour la sécurité de la CISA, nous nous consacrons au maintien des meilleures pratiques du secteur en matière de sécurité et de gestion des vulnérabilités, et à fournir aux clients des informations, des recommandations et des options d’atténuation en temps opportun pour traiter les vulnérabilités.

Traitement des signalements de vulnérabilités

Nous accueillons favorablement les signalements et divulgations de la part de partenaires industriels et de chercheurs en sécurité. Notre objectif est de disposer de correctifs ou de stratégies d’atténuation au moment de la divulgation, en collaboration avec des fournisseurs tiers lorsque nécessaire.

Si vous avez découvert une vulnérabilité, un problème de confidentialité, des données exposées ou d’autres problèmes de sécurité dans l’un de nos produits, nous souhaitons en être informés.

Dans le cadre de cette politique de divulgation, toutes les informations divulguées concernant de nouvelles vulnérabilités sont considérées comme confidentielles et ne seront partagées qu’entre Object First et la partie déclarante si ces informations ne sont pas déjà publiques, jusqu’à ce que l’équipe de sécurité de Object First confirme qu’une remédiation est disponible et autorise explicitement une divulgation coordonnée.

Systèmes dans le périmètre

Cette politique s’applique à tout produit fabriqué, vendu, détenu, exploité ou maintenu par Object First.

Hors périmètre

Produits ou autres équipements non détenus par les parties participant à cette politique.

Les vulnérabilités découvertes ou suspectées dans des systèmes hors périmètre doivent être signalées au fournisseur approprié ou à l’autorité compétente.

Nos engagements

En travaillant avec nous, vous pouvez vous attendre à ce que nous :

  • Répondions rapidement à votre signalement et travaillions avec vous pour comprendre et valider votre rapport.
  • Vous tenions informé de l’avancement du traitement d’une vulnérabilité.
  • Œuvrions à remédier rapidement aux vulnérabilités découvertes, dans les limites de nos contraintes opérationnelles.
  • Étendions un « Safe Harbor » à vos recherches de vulnérabilités liées à cette politique.

Nos attentes

En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons de :

  • Respecter les règles, notamment en suivant cette politique et les autres accords pertinents. En cas d’incohérence entre cette politique et toute autre condition applicable, les conditions de cette politique prévaudront.
  • Signaler rapidement toute vulnérabilité que vous avez découverte.
  • Éviter de violer la confidentialité d’autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l’expérience utilisateur.
  • N’utiliser que des canaux officiels pour discuter des informations de vulnérabilité avec [email protected].
  • Nous accorder un délai raisonnable (minimum 90 jours à compter du signalement initial) pour résoudre le problème avant de le divulguer publiquement.
  • Effectuer des tests uniquement sur les systèmes dans le périmètre et respecter les systèmes et activités hors périmètre.
  • Si une vulnérabilité fournit un accès non intentionnel à des données, limiter la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement une preuve de concept. En outre, cesser immédiatement les tests et soumettre un rapport sans délai si vous rencontrez des données utilisateur pendant les tests, telles que des informations personnellement identifiables (PII), des informations de santé personnelles (PHI), des données de carte de crédit ou toute autre information propriétaire.
  • N’interagir qu’avec des comptes de test que vous possédez ou avec l’autorisation explicite du titulaire du compte.
  • Ne pas divulguer les détails de la vulnérabilité tant qu’un accord n’a pas été conclu avec l’équipe de sécurité de Object First.
  • Ne stocker aucune donnée découverte pendant le processus de test.
  • Ne pas se livrer à l’extorsion.

Signaler une vulnérabilité de sécurité

Si vous pensez avoir identifié une vulnérabilité de sécurité dans un produit ou service Object First, nous vous encourageons à la signaler afin que nous puissions enquêter et traiter le problème rapidement.

Comment signaler

Envoyez un e-mail à [email protected] avec une description claire de ce que vous avez trouvé, y compris tout détail qui nous aidera à effectuer un triage efficacement. Si vous n’êtes pas certain que vos tests sont conformes à cette politique, contactez la même adresse.

Éléments à inclure

  • Un résumé du problème et de l’impact potentiel
  • Des étapes détaillées pour reproduire la vulnérabilité
  • Nom du produit, version et détails de l’environnement
  • Tout matériel de preuve de concept
  • Vos coordonnées de contact préférées

Veuillez éviter de télécharger, stocker ou partager toute information sensible. Arrêtez immédiatement les tests et incluez vos observations dans votre rapport.

À quoi s’attendre

Notre équipe de sécurité accusera réception de votre signalement, examinera le problème et assurera un suivi avec les prochaines étapes. Nous vous tiendrons informé pendant que nous travaillons à une résolution.

Safe Harbor

Object First soutient la recherche en sécurité menée de bonne foi. Le « Safe Harbor » signifie que si vous suivez cette politique et effectuez des tests de manière responsable, nous considérerons votre recherche comme autorisée et n’engagerons pas de poursuites judiciaires pour des violations accidentelles survenant au cours de votre investigation.

Lorsque vous menez des recherches sur les vulnérabilités dans le cadre de cette politique, nous considérons que cette recherche est :

  • Autorisée au regard des lois anti-piratage applicables, et nous n’initierons ni ne soutiendrons d’action en justice contre vous pour des violations accidentelles, de bonne foi, de cette politique
  • Autorisée au regard des lois anti-contournement pertinentes, et nous n’intenterons pas d’action contre vous pour contournement de contrôles techniques
  • Exemptée des restrictions de nos Conditions d’utilisation (TOS) et/ou de notre Politique d’utilisation acceptable (AUP) qui entraveraient la conduite de recherches en sécurité, et nous levons ces restrictions de manière limitée
  • Légale, utile à la sécurité globale et menée de bonne foi.

Vous êtes tenu de respecter toutes les lois applicables dans le cadre de vos recherches, tests et signalements. Si un tiers engage une action en justice contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

Implication de tiers

Vous êtes tenu de respecter toutes les lois applicables dans le cadre de vos recherches, tests et signalements. Si un tiers engage une action en justice contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

Notez que le Safe Harbor s’applique uniquement aux réclamations juridiques relevant du contrôle de l’organisation participant à cette politique et que la politique ne lie pas les tiers indépendants.

Avertissement relatif à la traduction automatique

Veuillez noter que Object First utilise la traduction automatique sur notre site web. Pour tous les détails, lisez l’avertissement.