Politique de divulgation des vulnérabilités
VaultPAM accorde une grande importance à la sécurité de sa plateforme. Cette politique décrit comment signaler des vulnérabilités de sécurité et ce que vous pouvez attendre de nous pendant le processus de divulgation.
Comment signaler
- Envoyez un e-mail à security@vaultpam.com comprenant une description du problème, les étapes pour le reproduire et une évaluation de l'impact.
- Pour les signalements sensibles, demandez notre clé PGP à la même adresse avant d'envoyer les détails.
- Ne divulguez pas publiquement la vulnérabilité tant que nous n'avons pas confirmé qu'un correctif est en place.
Sphère de sécurité (safe harbour)
Politique de sphère de sécurité à venir prochainement — contactez security@vaultpam.com pour plus de détails, dans l'attente d'une revue juridique.
Ce que vous pouvez attendre de nous
- Un accusé de réception dans un délai de 5 jours ouvrés.
- Des mises à jour de statut tous les 10 jours ouvrés tant que le problème fait l'objet d'une investigation.
- Une mention dans les notes de version (si vous le souhaitez) une fois le correctif déployé.
Divulgation coordonnée
- Nous appliquons un calendrier de divulgation coordonnée de 90 jours.
- Nous travaillerons avec vous pour ajuster la date de divulgation si la remédiation prend plus de temps.
- Les vulnérabilités critiques faisant l'objet d'une exploitation active peuvent être divulguées plus tôt, après notification des clients.
Hors périmètre
Les éléments suivants n'entrent pas dans le périmètre de cette politique :
- Les attaques par déni de service
- L'ingénierie sociale visant le personnel de VaultPAM
- Les problèmes affectant des services tiers échappant à notre contrôle
- Les résultats de scanners automatisés sans impact démontré