Politique de divulgation des vulnérabilités de Master Lock

Master Lock s’engage à protéger la sécurité de ses clients et s’efforce de fournir à ses utilisateurs un produit et un service sûrs et stables, et de protéger la confidentialité et la sécurité des données des clients.

La présente politique de divulgation des vulnérabilités s’applique à toutes les vulnérabilités que vous envisagez de nous signaler (l'« Organisation »).

Nous vous recommandons de lire l’intégralité de cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours agir en conformité avec celle-ci.

Nous apprécions ceux qui prennent le temps et les efforts nécessaires pour signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n’offrons pas de récompenses monétaires pour les divulgations de vulnérabilités.

 

Rapports 

Si vous pensez avoir trouvé une faille de sécurité, veuillez nous soumettre votre rapport à l’adresse e-mail suivante productsecurity@mlock.com.

Dans votre rapport, veuillez inclure des détails sur les éléments suivants dans la mesure du possible :

  • L’application, le site Web, l’adresse IP ou l’appareil sur lequel la vulnérabilité peut être observée, le cas échéant.
  • Une brève description de la vulnérabilité, par exemple « vulnérabilité XSS ».
  • Cause première potentielle.
  • Étapes à reproduire. Il doit s’agir d’une preuve de concept bénigne et non destructive. Cela permet de s’assurer que le rapport peut être trié rapidement et avec précision.

 

À quoi s’attendre 

Une fois que vous aurez soumis votre rapport, nous accuserons réception de votre rapport dans les 5 jours ouvrables et nous nous efforcerons de trier votre rapport dans les 10 jours ouvrables.

Nous nous efforcerons également de vous tenir informé de nos progrès ou de vous demander des informations supplémentaires le cas échéant.

Les priorités en matière d’assainissement sont évaluées en examinant l’impact, la gravité et la complexité de l’exploitation. Le tri ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Vous pouvez vous renseigner sur le statut, mais vous devez éviter de le faire plus d’une fois tous les 14 jours.

Nous vous informerons une fois la vulnérabilité corrigée, et vous serez peut-être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois la vulnérabilité résolue, nous fournirons au signaleur de la vulnérabilité une mise à jour de l’état pour clore l’affaire.

 

Direction 

Vous ne devez PAS :

  • Enfreindre toute loi ou réglementation applicable.
  • Accédez à des quantités de données inutiles, excessives ou importantes.
  • Modifier les données dans les systèmes ou services de l’Organisation.
  • Utilisez des outils d’analyse invasifs ou destructeurs à haute intensité pour trouver des vulnérabilités.
  • Tenter de signaler toute forme de déni de service, par exemple le fait de submerger un service avec un volume élevé de demandes.
  • Perturber les services ou les systèmes de l’Organisation.
  • Soumettez des rapports détaillant les vulnérabilités non exploitables, ou des rapports indiquant que les services ne s’alignent pas entièrement sur les « meilleures pratiques », par exemple des en-têtes de sécurité manquants.
  • Envoyez des rapports détaillant les faiblesses de la configuration TLS, par exemple la assistance de la suite de chiffrement « faible » ou la présence de assistance TLS1.0.
  • L’ingénierie sociale, l’hameçonnage ou l’attaque physique du personnel ou de l’infrastructure de l’Organisation.
  • Exigez une compensation financière pour divulguer toute vulnérabilité. 
  • Discuter ou divulguer des vulnérabilités à des tiers sans l’autorisation expresse de l’Organisation.

 

Il le faut

  • Toujours respecter les règles de protection des données et ne doit pas violer la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de l’Organisation. Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données récupérées à partir des systèmes ou des services.
  • Supprimez en toute sécurité toutes les données récupérées au cours de vos recherches dès qu’elles ne sont plus nécessaires ou dans les 1 mois suivant la résolution de la vulnérabilité, selon la première éventualité (ou comme l’exige la loi sur la protection des données).

 

Légalités 

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Il ne vous donne pas la permission d’agir d’une manière qui est incompatible avec la loi, ou qui pourrait amener l’Organisation ou les organisations partenaires à enfreindre toute obligation légale.