Política de Seguridad

Insignia de ciberseguridad responsable de TouchWeb

Notificación de una Vulnerabilidad

La seguridad de nuestros módulos PrestaShop y de los sitios que desarrollamos para nuestros clientes es primordial. Por eso, animamos a los investigadores de seguridad a analizar nuestros módulos y a notificarnos cualquier vulnerabilidad identificada, respetando las buenas prácticas de divulgación responsable.

Si cree haber descubierto una vulnerabilidad en uno de nuestros módulos, puede notificárnosla de manera responsable a través de nuestro formulario de contacto .

Le invitamos a proporcionar la mayor cantidad de detalles posible en su informe:

Información esencial a incluir

→ Descripción detallada: Explique claramente la naturaleza de la vulnerabilidad identificada

→ Evaluación del impacto: Describa las posibles consecuencias para los usuarios o los sitios

→ Versiones afectadas: Especifique las versiones del módulo afectadas por la vulnerabilidad

→ Pasos para reproducir: Proporcione una guía paso a paso para reproducir el problema

→ Pruebas de concepto: Si es posible, incluya capturas de pantalla o fragmentos de código relevantes

Le informamos que los hallazgos no reproducibles o que no estén directamente relacionados con nuestros módulos serán ignorados.

Nos comprometemos a identificar y corregir cualquier vulnerabilidad, y a comunicarnos de manera transparente con las partes interesadas durante todo el proceso.

Nuestra Política de Gestión de Vulnerabilidades

De acuerdo con la Carta TouchWeb para una ciberseguridad responsable, nuestro equipo aplica los siguientes principios:

  • Acuse de recibo de cualquier informe relevante en un máximo de 7 días. (CVSS ≥ 7.5)
  • Análisis de impacto y planificación de una corrección en un máximo de 30 días.
  • Publicación de un aviso de seguridad con CVE si la puntuación CVSS es ≥ 7.5.
  • Ninguna corrección será publicada de manera silenciosa.

Además, asumimos los siguientes compromisos para garantizar una gestión responsable y ética de las vulnerabilidades:

  • No emprender acciones legales contra los investigadores que actúen de buena fe, especialmente en el marco del programa YesWeHack gestionado por TouchWeb SAS.
  • Garantizar que ningún acuerdo de confidencialidad, incluido en marca blanca, pueda impedir la publicación transparente de un aviso de seguridad con identificador CVE, respetando el estado del arte.

Somos conscientes de que esta transparencia es esencial para permitir a las partes interesadas (agencias, comerciantes, etc.) cumplir con sus obligaciones de conformidad, especialmente en el marco del estándar PCI-DSS o de una de sus versiones simplificadas, como la SAQ-A.

Autorización de Publicación

Autorizamos expresamente a la empresa TouchWeb SAS a publicar la información relativa a las vulnerabilidades corregidas de nuestros módulos en su sitio oficial, de acuerdo con los compromisos de la Carta de ciberseguridad responsable.

Esta publicación incluye:

  • Un identificador CVE asociado a la vulnerabilidad.
  • Una nota de seguridad que describa claramente el problema y su resolución.
  • Las versiones afectadas y la versión corregida.
  • Una corrección fácil de implementar cuando la actualización no sea posible.
  • Cualquier información útil que permita a los usuarios y agencias protegerse rápidamente.

Somos conscientes de que esta transparencia es esencial para permitir a las partes interesadas (agencias, comerciantes, etc.) cumplir con sus obligaciones de conformidad, especialmente en el marco del estándar PCI-DSS o de una de sus versiones simplificadas, como la SAQ-A.

Publicaciones

Ninguna publicación hasta la fecha.