Master Lock Politique de divulgation des vulnérabilités
Master Lock s'engage à protéger la sécurité de ses clients et s'efforce de fournir à ses utilisateurs un produit et un service sécurisés et stables, tout en protégeant la confidentialité et la sécurité des données des clients.
La présente politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de nous signaler (l'« Organisation »).
Nous vous recommandons de lire attentivement cette politique de divulgation des vulnérabilités dans son intégralité avant de signaler une vulnérabilité et de toujours agir en conformité avec celle-ci.
Nous valorisons ceux qui prennent le temps et les efforts nécessaires pour signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n'offrons pas de récompenses financières pour les divulgations de vulnérabilités.
Rapport
Si vous pensez avoir trouvé une vulnérabilité de sécurité, veuillez soumettre votre rapport à l’adresse e-mail suivante productsecurity@mlock.com.
Dans votre rapport, veuillez inclure les détails suivants dans la mesure du possible :
- L’application, le site Web, l’adresse IP ou l’appareil sur lequel la vulnérabilité peut être observée, le cas échéant.
- Une brève description de la vulnérabilité, par exemple « vulnérabilité XSS ».
- Cause racine potentielle.
- Étapes à reproduire. Celles-ci doivent être bénignes, non destructives et constituer une preuve de concept. Cela permet de garantir que le rapport peut être trié rapidement et avec précision.
À quoi s'attendre
Une fois que vous aurez soumis votre rapport, nous accuserons réception de celui-ci dans un délai de 5 jours ouvrables et nous nous efforcerons de le traiter dans un délai de 10 jours ouvrables.
Nous nous efforcerons également de vous tenir informés de nos progrès ou de vous demander des informations supplémentaires le cas échéant.
Les priorités en matière de remédiation sont évaluées en tenant compte de l'impact, de la gravité et de la complexité d'exploitation. Le traitement ou l'évaluation des rapports de vulnérabilité peut prendre un certain temps. Vous êtes invité à vous renseigner sur le statut, mais vous devez éviter de le faire plus d'une fois tous les 14 jours.
Nous vous informerons une fois que la vulnérabilité aura été corrigée, et vous pourriez être invité à confirmer que la solution couvre adéquatement la vulnérabilité.
Une fois la vulnérabilité résolue, nous fournirons au rapporteur de la vulnérabilité une mise à jour de l'état pour clore le dossier.
Orientation
Vous ne devez PAS :
- Enfreindre toute loi ou réglementation applicable.
- Accès à des quantités de données inutiles, excessives ou significatives.
- Modifier les données dans les systèmes ou services de l’Organisation.
- Utilisez des outils de scan invasifs ou destructeurs à haute intensité pour identifier les vulnérabilités.
- Tenter de signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de demandes.
- Perturber les services ou les systèmes de l'organisation.
- Soumettre des rapports détaillant les vulnérabilités non exploitables, ou des rapports indiquant que les services ne s’alignent pas entièrement sur les « meilleures pratiques », par exemple des en-têtes de sécurité manquants.
- Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple le support de la suite de chiffrement « faible » ou la présence de support TLS1.0.
- L’ingénierie sociale, le « phishing » ou l’attaque physique du personnel ou de l’infrastructure de l’Organisation.
- Demander une compensation financière pour divulguer toute vulnérabilité.
- Discuter ou divulguer des vulnérabilités à des tiers sans l’autorisation expresse de l’Organisation.
Vous devez
- Toujours respecter les règles de protection des données et ne pas violer la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de l’Organisation. Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données récupérées des systèmes ou des services.
- Supprimez en toute sécurité toutes les données récupérées au cours de vos recherches dès qu'elles ne sont plus nécessaires ou dans les 1 mois suivant la résolution de la vulnérabilité, selon la première éventualité (ou comme l'exige la législation sur la protection des données).
Légalité
Cette politique est conçue pour être conforme aux bonnes pratiques courantes en matière de divulgation des vulnérabilités. Il ne vous autorise pas à agir d'une manière qui serait incompatible avec la loi, ni à causer à l'Organisation ou aux organisations partenaires une violation de leurs obligations légales.