Polityka bezpieczeństwa

Odznaka odpowiedzialnego cyberbezpieczeństwa TouchWeb

Zgłaszanie podatności

Bezpieczeństwo naszych modułów PrestaShop i stron internetowych tworzonych dla naszych klientów ma dla nas kluczowe znaczenie. Dlatego zachęcamy badaczy bezpieczeństwa do analizowania naszych modułów i zgłaszania wszelkich wykrytych podatności zgodnie z zasadami odpowiedzialnego ujawniania.

Jeśli uważasz, że odkryłeś podatność w jednym z naszych modułów, możesz zgłosić ją w sposób odpowiedzialny poprzez nasz formularz kontaktowy .

Zalecamy, abyś w zgłoszeniu zawarł możliwie jak najwięcej szczegółów:

Kluczowe informacje do uwzględnienia

→ Szczegółowy opis: Wyjaśnij dokładnie charakter wykrytej podatności

→ Ocena wpływu: Opisz potencjalne skutki dla użytkowników lub stron

→ Dotknięte wersje: Wskaż wersje modułu, których dotyczy podatność

→ Kroki do odtworzenia: Podaj instrukcje krok po kroku umożliwiające odtworzenie problemu

→ Dowód koncepcji: Jeśli to możliwe, dołącz zrzuty ekranu lub odpowiednie fragmenty kodu

Informujemy, że zgłoszenia, których nie da się odtworzyć lub które nie są bezpośrednio związane z naszymi modułami, będą ignorowane.

Zobowiązujemy się do identyfikacji i naprawy wszelkich podatności oraz do przejrzystej komunikacji ze wszystkimi zainteresowanymi stronami na każdym etapie procesu.

Nasza polityka zarządzania podatnościami

Zgodnie z Kartą TouchWeb odpowiedzialnego cyberbezpieczeństwa nasz zespół stosuje następujące zasady:

  • Potwierdzenie odbioru każdego istotnego zgłoszenia w ciągu maksymalnie 7 dni (CVSS ≥ 7.5)
  • Analiza wpływu i zaplanowanie poprawki w ciągu maksymalnie 30 dni
  • Publikacja ostrzeżenia o bezpieczeństwie z identyfikatorem CVE, jeśli wynik CVSS wynosi ≥ 7.5
  • Żadna poprawka nie zostanie opublikowana po cichu

Dodatkowo zobowiązujemy się do przestrzegania następujących zasad odpowiedzialnego i etycznego zarządzania podatnościami:

  • Nie podejmować działań prawnych wobec badaczy działających w dobrej wierze, w szczególności w ramach programu YesWeHack prowadzonego przez TouchWeb SAS
  • Zagwarantować, że żadne porozumienie o poufności, w tym white label, nie uniemożliwi przejrzystej publikacji ostrzeżenia o bezpieczeństwie z identyfikatorem CVE, zgodnie z najlepszymi praktykami

Jesteśmy świadomi, że przejrzystość jest kluczowa, aby umożliwić stronom trzecim (agencjom, sprzedawcom itd.) spełnienie obowiązków w zakresie zgodności, w szczególności wynikających ze standardu PCI-DSS lub jego uproszczonych wersji, takich jak SAQ-A.

Zgoda na publikację

Wyrażamy zgodę, aby firma TouchWeb SAS opublikowała informacje o naprawionych podatnościach w naszych modułach na swojej oficjalnej stronie internetowej, zgodnie z założeniami Karty odpowiedzialnego cyberbezpieczeństwa.

Publikacja ta obejmuje:

  • Identyfikator CVE przypisany do podatności
  • Notatkę bezpieczeństwa wyjaśniającą problem i sposób jego rozwiązania
  • Dotknięte wersje oraz wersję naprawioną
  • Łatwą do wdrożenia poprawkę, jeśli aktualizacja nie jest możliwa
  • Wszelkie przydatne informacje, które pozwolą użytkownikom i agencjom szybko się zabezpieczyć

Jesteśmy świadomi, że przejrzystość jest kluczowa, aby umożliwić stronom trzecim (agencjom, sprzedawcom itd.) spełnienie obowiązków w zakresie zgodności, w szczególności wynikających ze standardu PCI-DSS lub jego uproszczonych wersji, takich jak SAQ-A.

Publikacje

Brak publikacji na dzień dzisiejszy.