|
The Forrester Wave™: Supplier Value Management Platforms, Q3 2024 Lire le rapport
Lignes directrices relatives à la divulgation des vulnérabilités
Présentation
Chez Ivalua, bien que nous n'accordions pas d'autorisation d'auditer notre infrastructure, nous encourageons la divulgation responsable de toute vulnérabilité susceptble d'être présente dans nos systèmes ou applications. Ces lignes directrices décrivent de quelle manière il convient de divulguer les vulnérabilités de manière responsable et détermine de quelle manière nous vous répondrons.
Portée
Ces lignes directrices s'appliquent à tous les actifs numériques détenus, exploités ou maintenus par Ivalua, y compris, mais sans s'y limiter, les sites Web, les applications et les bases de données. Aucune autorisation n'est accordée à propos des activités décrites ci-dessous comme étant exclues (voir « Exclusions »).
Les présentes lignes directrices ne s'appliquent pas aux clients existants d'Ivalua ou aux Utilisateurs autorisés. Si vous êtes un Utilisateur autorisé, les droits et restrictions en matière de tests de sécurité et de divulgation des vulnérabilités sont uniquement ceux expressément définis dans le contrat de votre organisation avec Ivalua.
Comment divulguer une vulnérabilité ?
Pour divulguer une vulnérabilité de sécurité, veuillez suivre les étapes suivantes :
- Envoyez vos conclusions par e-mail à l'adresse [e-mail protégé].
- Fournissez des informations détaillées : donnez le plus d'informations possible concernant la vulnérabilité, notamment :
- L'URL ou l'emplacement de la vulnérabilité.
- Une description détaillée de la vulnérabilité.
- Les étapes permettant de reproduire la vulnérabilité (des scripts ou captures d'écran de la preuve de concept peuvent être utiles).
- Les impacts potentiels de la vulnérabilité.
- Garantissez la confidentialité : ne divulguez pas la vulnérabilité à qui que ce soit tant que celle-ci n'a pas fait l'objet d'une enquête et d'une résolution.
Étapes suivant le signalement d'une vulnérabilité
- Accusé de réception : nous nous efforçons d'accuser réception de votre signalement.
- Communication : si nous le jugeons approprié, nous vous tiendrons informé de l'état d'avancement de votre signalement.
- Évaluation et validation : en interne, nos équipes évalueront et valideront la vulnérabilité ayant fait l'objet d'un signalement.
- Remédiation : nous évaluerons les conclusions et remédierons aux vulnérabilités validées conformément à nos politiques et processus internes.
- Divulgation : si nécessaire, nous envisagerons avec vous le calendrier et les détails de toute divulgation publique.
Exclusions
Ces lignes directrices ne constituent pas une renonciation aux droits qu'Ivalua peut exercer en vertu de la loi en vigueur. Veuillez noter que le fait de tester ou d'encourager d'autres personnes à tester les systèmes d'un tiers sans autorisation est généralement considéré comme un accès non autorisé en vertu de diverses lois, notamment la loi Computer Fraud and Abuse Act (CFAA) aux États-Unis et des lois similaires dans d'autres juridictions. Cela peut entraîner des responsabilités pénales et civiles pour les organisateurs et les participants à toute forme de test de sécurité non autorisé.
En conséquence, les méthodes de test suivantes ne sont pas autorisées :
- Attaques par déni de service (DoS ou DDoS).
- Attaques physiques contre nos bureaux ou centres de données.
- Ingénierie sociale et attaques de spam contre nos employés, nos sous-traitants ou nos clients.
- Scan automatisé des actifs Ivalua.
- Toute autre activité susceptible de perturber, endommager ou affecter nos utilisateurs ou nos services.
- Tentatives de connexion d'utilisateurs non autorisés aux systèmes d'Ivalua.
- Tentatives d'exploitation de toute vulnérabilité identifiée ou signalée.
Informations de contact
Pour tout signalement et/ou toute question concernant la présente politique ou au processus de signalement, merci de nous contacter à l'adresse [e-mail protégé].