fr_FR Français
fr_FR Français en_US English de_DE_formal Deutsch (Sie)
Confiance et sécurité

Politique de divulgation des vulnérabilités externes

Table des matières

1. Objet

PROS s'engage à maintenir les normes de sécurité les plus élevées pour ses produits et services logiciels. Cette politique de divulgation externe des vulnérabilités politique de divulgation des vulnérabilités externes décrit comment les chercheurs en sécurité, les pirates éthiques et les parties externes peuvent signaler de manière responsable les vulnérabilités qu'ils découvrent dans nos systèmes, afin de garantir la sécurité et l'intégrité de nos produits et la confiance de nos utilisateurs. la confiance de nos utilisateurs.

2. Champ d'application

Cette politique s'applique à toutes les parties externes (chercheurs, hackers éthiques et autres parties prenantes) qui identifient et signalent des vulnérabilités dans les produits logiciels, services, sites web et infrastructures connexes de PROS. qui identifient et signalent des vulnérabilités dans les produits logiciels, les services, les sites web et l'infrastructure connexe de PROS. Elle couvre toutes les formes de vulnérabilités, y compris, mais sans s'y limiter :
  • Applications logicielles (web, mobile, bureau)
  • API et services web
  • Infrastructure en nuage
  • Services de réseau
  • Documentation et ressources publiques
Exclus : Cette politique ne s'applique pas aux vulnérabilités découvertes dans les systèmes internes ou dans tout système non accessible au public, sauf autorisation explicite de PROS. sauf autorisation explicite de PROS.

3. Définitions

  • Vulnérabilité : Une faiblesse dans le système qui peut être exploitée pour compromettre la confidentialité, l'intégrité ou la disponibilité du système ou de ses données. disponibilité du système ou de ses données.
  • Divulgation responsable : Pratique consistant à signaler en privé les vulnérabilités de sécurité à l'organisation concernée, afin de lui laisser le temps de résoudre le problème avant de le divulguer publiquement. l'organisation concernée, ce qui lui donne le temps de résoudre le problème avant de le rendre public.
  • La sphère de sécurité : Protections juridiques accordées aux personnes qui signalent des vulnérabilités de bonne foi, empêchant l'action en justice de PROS tant que le signalement est conforme à la politique.

4. Déclarations de politique générale

4.1. Encouragement à la divulgation responsable

PROS encourage les chercheurs en sécurité et les parties externes à signaler les vulnérabilités de manière responsable. Nous apprécions les Nous apprécions les contributions de la communauté de la sécurité à l'amélioration de la sécurité de nos produits et services.

4.2. La sphère de sécurité juridique

Afin de protéger les personnes qui signalent des vulnérabilités de bonne foi, PROS propose des dispositions relatives à la sphère de sécurité. PROS n'engagera pas d'action en justice à leur encontre tant que le journaliste :
  • Adopte un comportement responsable et éthique.
  • n'effectue pas de tests ou d'actions non autorisés au-delà de ce qui est nécessaire pour découvrir la vulnérabilité.
  • respecte les lignes directrices énoncées dans la présente politique.

4.3. Absence d'autorisation d'accès

Cette politique n'autorise pas à effectuer des tests de sécurité ou à accéder à des systèmes au-delà de ce qui est nécessaire pour d'identifier et de signaler la vulnérabilité. L'accès ou les tests non autorisés peuvent constituer une violation des lois applicables.

5. Processus d'établissement de rapports

5.1. Comment signaler une vulnérabilité

Les vulnérabilités peuvent être signalées par les canaux suivants :

5.2. Informations requises

Lorsque vous signalez une vulnérabilité, veuillez inclure les informations suivantes afin de faciliter l'évaluation et la remédiation en temps utile de remédier à la situation :
  • Informations de contact : Votre nom, votre adresse électronique et toute autre information de contact pertinente.
  • Description : Une description claire et détaillée de la vulnérabilité.
  • Impact : Impact potentiel et gravité de la vulnérabilité.
  • Étapes de la reproduction : Instructions étape par étape pour reproduire la vulnérabilité.
  • Preuve de concept : Tout extrait de code, capture d'écran ou autre preuve démontrant la vulnérabilité.
  • Systèmes concernés : Produits, services ou versions spécifiques concernés.

6. Réponse et accusé de réception

6.1. Accusé de réception initial

Dès réception d'un rapport de vulnérabilité, PROS en accusera réception dans un délai de 5 jours ouvrables. L'accusé de réception l'accusé de réception comprendra :
  • Confirmation de la réception du rapport.
  • Un numéro de référence pour le suivi.
  • Un calendrier estimatif pour la suite de la communication.

6.2. Évaluation et remédiation

PROS sera :
  • Évaluer la validité et la gravité de la vulnérabilité signalée.
  • Hiérarchiser les mesures correctives en fonction de l'impact et du risque.

6.3. Communication finale

Une fois que la vulnérabilité aura été corrigée, PROS :
  • Informer le journaliste que le problème a été résolu.
  • Coordonner la divulgation publique (le cas échéant) dans un délai convenu d'un commun accord.

7. Reconnaissance et récompenses

PROS n'offre PAS de compensation financière pour les vulnérabilités. PROS offre un certificat de reconnaissance pour tous les rapports de vulnérabilité valides.

8. Lignes directrices en matière de divulgation responsable

Pour garantir une divulgation responsable, les rapporteurs doivent respecter les lignes directrices suivantes :
  • Ne pas exploiter : N'exploitez pas la vulnérabilité au-delà de ce qui est nécessaire pour démontrer son existence.
  • Ne pas divulguer publiquement : S'abstenir de divulguer publiquement la vulnérabilité jusqu'à ce que l'entreprise ait eu suffisamment de temps pour y remédier. suffisamment de temps pour y remédier.
  • Respecter la vie privée : Éviter d'accéder ou d'exposer des données d'utilisateur ou des informations privées.
  • Test d'impact minimal : Effectuer les tests de manière à ne pas perturber les services et à ne pas affecter les autres utilisateurs.

9. Conformité et considérations juridiques

  • Lois applicables : Les rapporteurs doivent se conformer à toutes les lois locales, nationales et internationales applicables lorsqu'ils testent et signalent des vulnérabilités. lorsqu'ils testent et signalent des vulnérabilités.
  • Vie privée : PROS respecte la vie privée de tous les individus et s'engage à protéger les données personnelles.

10. Informations sur les contacts

Pour toute question ou assistance supplémentaire concernant cette politique, veuillez contacter

Merci de nous aider à maintenir la sécurité et l'intégrité des produits et services de PROS. Vos contributions sont très appréciées.