Politique de divulgation des vulnérabilités

Politique de divulgation des vulnérabilités

Si vous pensez avoir trouvé une faille de sécurité concernant un produit ou un service STRONG, veuillez nous soumettre votre rapport.

De : STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Autriche

Publié en avril 2024

Contenu

  1. Introduction
  2. Rapports
  3. À quoi s'attendre
  4. Orientations
  5. Légalités

Introduction

Cette politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de signaler à STRONG. Nous vous recommandons de lire attentivement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours agir en conformité avec elle.

Nous apprécions ceux qui prennent le temps et font l'effort de signaler les failles de sécurité conformément à cette politique. Toutefois, nous n'offrons pas de récompenses monétaires pour les divulgations de vulnérabilités

Rapports

Si vous pensez avoir découvert une faille de sécurité, veuillez nous envoyer votre rapport en utilisant le formulaire de contact suivant et en choisissant la nature "faille de sécurité" : *****(lien formulaire de contact)*****

À quoi s'attendre

Une fois que vous aurez soumis votre rapport, nous y répondrons dans les 5 jours ouvrables et nous nous efforcerons de le trier dans les 10 jours ouvrables. Nous nous efforcerons également de vous tenir informé de nos progrès.

La priorité des mesures correctives est évaluée en fonction de l'impact, de la gravité et de la complexité de l'exploit. Le triage ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Dans certains cas, la remédiation peut prendre jusqu'à 90 jours ou plus. Vous pouvez vous renseigner sur l'état de la situation, mais évitez de le faire plus d'une fois tous les 14 jours. Cela permet à nos équipes de se concentrer sur les mesures correctives.

Nous vous informerons lorsque la vulnérabilité signalée sera corrigée, et vous pourrez être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois que votre vulnérabilité a été résolue, nous acceptons les demandes de divulgation de votre rapport. Nous aimerions unifier les conseils aux utilisateurs concernés, alors continuez à coordonner la diffusion publique avec nous.

Orientations

Vous ne devez PAS :

  • enfreindre toute loi ou réglementation applicable
  • accéder à des quantités inutiles, excessives ou significatives de données
  • modifier les données dans les systèmes ou services de STRONG
  • utiliser des outils de balayage invasifs ou destructifs à haute intensité pour trouver des vulnérabilités
  • tenter ou signaler toute forme de déni de service, par exemple en submergeant un service d'un grand nombre de demandes
  • perturber les services ou les systèmes du STRONG
  • soumettre des rapports détaillant des vulnérabilités non exploitables, ou des rapports indiquant que les services ne sont pas entièrement conformes aux "meilleures pratiques", par exemple des en-têtes de sécurité manquants.
  • communiquer des vulnérabilités ou des détails associés autrement que par les moyens décrits dans la présente politique
  • faire de l'ingénierie sociale, de l'hameçonnage ou attaquer physiquement le personnel ou l'infrastructure de l'Organisation
  • exiger une compensation financière pour divulguer d'éventuelles vulnérabilités

Vous devez :

  • toujours respecter les règles de protection des données et ne pas porter atteinte à la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de STRONG. Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données extraites des systèmes ou des services.
  • supprimer en toute sécurité toutes les données récupérées au cours de votre recherche dès qu'elles ne sont plus nécessaires ou dans un délai d'un mois à compter de la résolution de la vulnérabilité, selon ce qui se produit en premier (ou selon les exigences de la loi sur la protection des données).

Légalités

Cette politique est conçue pour être compatible avec les bonnes pratiques en matière de divulgation de la vulnérabilité. Elle ne vous autorise pas à agir d'une manière incompatible avec la loi ou qui pourrait amener l'Organisation ou les organisations partenaires à manquer à leurs obligations légales.

Toutefois, si une action en justice est engagée par un tiers à votre encontre et que vous avez respecté la présente politique, nous pouvons prendre des mesures pour faire savoir que vos actions ont été menées dans le respect de la présente politique.

Merci de nous aider à assurer la sécurité de STRONG et de nos clients !

Support

Plus de 15 langues parlées dans le pays

FAQ complète

Voir les questions >

4 ans de garantie

Pour tous les produits Home Networking

Suivez-nous