Politique de divulgation de la sécurité et des vulnérabilités
Entrée en vigueur : 5 mai 2020 Nous considérons que la sécurité de nos clients est l'une de nos principales priorités. C'est pourquoi nous concevons et fabriquons des produits et des services de la meilleure qualité et de la plus grande fiabilité possible. Malgré nos efforts pour mettre en œuvre les meilleures mesures de sécurité possibles, des vulnérabilités peuvent toujours être présentes dans nos produits, services et systèmes.
Ce document décrit la politique de Patrowl en matière de réception de rapports relatifs à d'éventuelles failles de sécurité dans ses produits et services, ainsi que la pratique standard de l'entreprise en ce qui concerne l'information des clients sur les failles vérifiées.
Tout le monde est encouragé à signaler les vulnérabilités identifiées, quel que soit le type de service ou de produit. Les chercheurs, les partenaires, les CERT, les clients ou toute autre source sont invités à signaler les vulnérabilités.
Quand contacter l'équipe de sécurité ?
La méthode préférée pour contacter l'équipe opérationnelle de sécurité de Patrowl est d'envoyer un e-mail à security@patrowl.io si vous avez identifié une vulnérabilité de sécurité potentielle avec l'un de nos produits ou de nos services.
Pour faciliter notre gestion de la vulnérabilité, nous attendons des rapports bien rédigés en anglais ou en français contenant les informations suivantes :
Heure et date de la découverte Modèle et numéro du produit, en utilisant si possible la nomenclature du fournisseur URL, informations sur le navigateur, y compris le type et la version, et données requises pour reproduire la vulnérabilité ; Description technique - fournir les actions effectuées et le résultat avec autant de détails que possible ; Exemple de code - si possible, fournir le code qui a été utilisé dans les tests pour créer la vulnérabilité ; Coordonnées de l'auteur du rapport : meilleure méthode pour le joindre. Plan(s) de divulgation - plan actuel de divulgation ; Évaluation des menaces/risques - contient des détails sur les menaces et/ou les risques identifiés, y compris un niveau de risque (élevé, moyen, faible) pour le résultat de l'évaluation ; Configuration logicielle - détails de la configuration de l'ordinateur/appareil au moment de la vulnérabilité ; Informations pertinentes sur les appareils connectés si la vulnérabilité survient au cours d'une interaction. Lorsqu'un dispositif secondaire déclenche la vulnérabilité, ces informations doivent être fournies. Veuillez ne pas inclure de données personnelles dans vos rapports, à l'exception de celles qui sont nécessaires pour vous contacter. La participation à ce programme ne vous donne aucun droit sur la propriété intellectuelle détenue par Patrowl, GreenLock Advisory ou un tiers.
Prochaines étapes ?
Après réception de votre rapport d'incident, le personnel approprié vous contactera pour assurer le suivi. Pour garantir la confidentialité, nous vous encourageons à crypter toute information sensible que vous nous envoyez par courrier électronique. Nous sommes équipés pour recevoir des messages cryptés à l'aide de PGP. Notre clé publique PGP peut être utilisée pour envoyer des courriels cryptés.
Patrowl tente d'accuser réception de tous les rapports soumis dans un délai de sept jours.
Ensuite, Patrowl engagera un dialogue ouvert pour discuter des problèmes et vous informera à chaque étape de l'enquête.
Patrowl conserve le pouvoir discrétionnaire de déterminer s'il accepte ou non un rapport dans le programme. Par exemple, Patrowl n'acceptera pas dans ce programme les vulnérabilités ayant un impact minimal sur la sécurité ou une faible exploitabilité, les vulnérabilités échappant au contrôle de Patrowl, les vulnérabilités découvertes par des analyses automatisées qui n'ont pas été vérifiées manuellement, ou les vulnérabilités liées à une violation des exigences du programme.
Exigences en matière de divulgation
Patrowl s'engage à ne pas poursuivre les parties qui soumettent des rapports dans le champ d'application et à ne pas engager de poursuites judiciaires à leur encontre :
s'engager dans des tests/recherches de systèmes sans nuire à Patrowl, à ses clients, à ses employés ou à des tiers ; ne pas utiliser ni modifier les données auxquelles il pourrait avoir accès au cours de sa découverte ; Ne pas mener d'attaques d'ingénierie sociale, de spam ou d'hameçonnage ; Ne pas tester la sécurité physique de toute propriété de Patrowl ou de tiers ; Ne pas mener d'attaques par déni de service ou par épuisement des ressources ; Se conformer aux lois pénales applicables ; Respecter les autres lois applicables (autres que celles qui ne donneraient lieu qu'à des réclamations de la part de Patrowl). Le(s) déclarant(s) qui soumet(tent) un rapport à Patrowl par le biais de ce site web accepte(nt) de ne pas divulguer à un tiers toute information liée à ce rapport, à la vulnérabilité signalée ou au fait qu'une vulnérabilité a été signalée à Patrowl. Cet accord concernant la divulgation s'applique indépendamment du fait que Patrowl ait eu connaissance de l'information au préalable.
Vous acceptez que Patrowl puisse divulguer les informations contenues dans un rapport que vous soumettez par l'intermédiaire de ce site web. Patrowl examinera toute demande de divulgation émanant d'une partie déclarante, mais se réserve le droit de refuser de telles demandes.
Patrowl apprécie les efforts déployés par la personne qui a signalé le problème pour identifier la vulnérabilité. Nous vous remercions de faire tout ce qui est en votre pouvoir pour améliorer la sécurité de notre produit et de nos systèmes, ainsi que de la communauté Internet dans son ensemble.
Tous les aspects de ce processus sont susceptibles d'être modifiés sans préavis, ainsi que de faire l'objet d'exceptions au cas par cas. Aucun niveau de réponse particulier n'est garanti pour un problème spécifique ou une catégorie de problèmes.