Aller au contenu principal

Politique de divulgation des vulnérabilités

VaultPAM accorde une grande importance à la sécurité de sa plateforme. Cette politique décrit comment signaler des vulnérabilités de sécurité et ce que vous pouvez attendre de nous pendant le processus de divulgation.

Comment signaler

  • Envoyez un e-mail à security@vaultpam.com comprenant une description du problème, les étapes pour le reproduire et une évaluation de l'impact.
  • Pour les signalements sensibles, demandez notre clé PGP à la même adresse avant d'envoyer les détails.
  • Ne divulguez pas publiquement la vulnérabilité tant que nous n'avons pas confirmé qu'un correctif est en place.

Sphère de sécurité (safe harbour)

Politique de sphère de sécurité à venir prochainement — contactez security@vaultpam.com pour plus de détails, dans l'attente d'une revue juridique.

Ce que vous pouvez attendre de nous

  • Un accusé de réception dans un délai de 5 jours ouvrés.
  • Des mises à jour de statut tous les 10 jours ouvrés tant que le problème fait l'objet d'une investigation.
  • Une mention dans les notes de version (si vous le souhaitez) une fois le correctif déployé.

Divulgation coordonnée

  • Nous appliquons un calendrier de divulgation coordonnée de 90 jours.
  • Nous travaillerons avec vous pour ajuster la date de divulgation si la remédiation prend plus de temps.
  • Les vulnérabilités critiques faisant l'objet d'une exploitation active peuvent être divulguées plus tôt, après notification des clients.

Hors périmètre

Les éléments suivants n'entrent pas dans le périmètre de cette politique :

  • Les attaques par déni de service
  • L'ingénierie sociale visant le personnel de VaultPAM
  • Les problèmes affectant des services tiers échappant à notre contrôle
  • Les résultats de scanners automatisés sans impact démontré