Politica di Sicurezza

Badge cybersicurezza responsabile TouchWeb

Segnalazione di una Vulnerabilità

La sicurezza dei nostri moduli Prestashop che sviluppiamo per i nostri clienti è fondamentale. Per questo motivo incoraggiamo i ricercatori di sicurezza a condurre analisi sui nostri moduli e a segnalarci eventuali vulnerabilità identificate, nel rispetto delle buone pratiche di divulgazione responsabile.

Se ritieni di aver scoperto una vulnerabilità in uno dei nostri moduli, puoi segnalarcela in modo responsabile tramite il nostro modulo di contatto .

Ti invitiamo a fornirci il maggior numero possibile di dettagli nella tua segnalazione:

Informazioni essenziali da includere

→ Descrizione dettagliata: Spiega chiaramente la natura della vulnerabilità identificata

→ Valutazione dell'impatto: Descrivi le possibili conseguenze per gli utenti o i siti

→ Versioni interessate: Specifica le versioni del modulo coinvolte dalla vulnerabilità

→ Passaggi per riprodurre il problema: Fornisci una guida passo-passo

→ Prove di concetto: Se possibile, includi screenshot o frammenti di codice pertinenti

Ti informiamo che le scoperte non riproducibili o non direttamente correlate ai nostri moduli saranno ignorate.

Ci impegniamo a identificare e correggere ogni vulnerabilità e a comunicare in modo trasparente con le parti interessate durante tutto il processo.

La Nostra Politica di Gestione delle Vulnerabilità

In conformità con la Carta TouchWeb per una cybersicurezza responsabile, il nostro team applica i seguenti principi:

  • Conferma di ricezione di ogni segnalazione pertinente entro un massimo di 7 giorni. (CVSS ≥ 7.5)
  • Analisi dell'impatto e pianificazione di una correzione entro un massimo di 30 giorni.
  • Pubblicazione di un avviso di sicurezza con identificativo CVE se il punteggio CVSS è ≥ 7.5.
  • Nessuna correzione sarà pubblicata in modo silenzioso.

Inoltre, assumiamo i seguenti impegni per garantire una gestione responsabile ed etica delle vulnerabilità:

  • Non intraprendere azioni legali contro i ricercatori che agiscono in buona fede, in particolare nell’ambito del programma YesWeHack gestito da TouchWeb SAS.
  • Garantire che nessun accordo di riservatezza, incluso in white label, possa ostacolare la pubblicazione trasparente di un avviso di sicurezza con identificativo CVE, nel rispetto delle buone pratiche del settore.

Siamo consapevoli che questa trasparenza è essenziale per consentire alle parti interessate (agenzie, commercianti, ecc.) di soddisfare i propri obblighi di conformità, in particolare nell'ambito dello standard PCI-DSS o di una delle sue versioni semplificate, come la SAQ-A.

Autorizzazione alla Pubblicazione

Autorizziamo espressamente la società TouchWeb SAS a pubblicare le informazioni relative alle vulnerabilità corrette dei nostri moduli sul suo sito ufficiale, in conformità con gli impegni della Carta di cybersicurezza responsabile.

Questa pubblicazione include:

  • Un identificativo CVE associato alla vulnerabilità.
  • Una nota di sicurezza che descrive chiaramente il problema e la sua risoluzione.
  • Le versioni interessate e la versione corretta.
  • Una correzione facile da implementare quando l'aggiornamento non è possibile.
  • Qualsiasi informazione utile che consenta agli utenti e alle agenzie di proteggersi rapidamente.

Siamo consapevoli che questa trasparenza è essenziale per consentire alle parti interessate (agenzie, commercianti, ecc.) di soddisfare i propri obblighi di conformità, in particolare nell'ambito dello standard PCI-DSS o di una delle sue versioni semplificate, come la SAQ-A.

Pubblicazioni

Nessuna pubblicazione fino ad oggi.