Programme de divulgation des vulnérabilités

Dans le cadre de notre engagement à améliorer la sécurité de notre plate-forme et de nos services, nous valorisons la collaboration avec la communauté de la recherche en matière de sécurité. Pour faciliter cette collaboration, nous avons mis en place une Vulnerability Disclosure Policy. Cette politique encourage les personnes à nous signaler toute vulnérabilité découverte, ce qui nous permet de traiter et d'atténuer rapidement les risques potentiels pour la sécurité.

Learn More

Lignes directrices pour une information responsable

Afin de maintenir un environnement constructif pour la recherche sur la sécurité, nous vous demandons de suivre ces lignes directrices lorsque vous effectuez des recherches :

  • Ne vous engagez pas dans une forme quelconque d'attaque par déni de service (DoS) contre des applications, des serveurs, des réseaux ou des infrastructures de l'entreprise.
  • Évitez les tests qui pourraient entraîner une dégradation ou une interruption de nos services.
  • Si vous utilisez des scanners ou des outils automatisés, assurez-vous qu'ils fonctionnent d'une manière qui ne génère pas de trafic réseau excessif (par exemple, limitez les demandes à un maximum d'une par seconde).
  • s'abstenir de toute fuite, modification ou suppression de données ou de fichiers d'utilisateurs au sein de nos applications ou de nos serveurs.
  • N'accédez pas ou ne divulguez pas de fichiers provenant de nos applications ou de nos serveurs.
  • Nous n'autorisons aucune forme de divulgation de la vulnérabilité, qu'elle soit totale, partielle ou autre.
  • Éviter de soumettre des spams par le biais des formulaires d'inscription sur nos sites web, y compris le portail d'assistance.
  • Utiliser l'agent utilisateur "VDP nom-au-mail-dot-com" dans toutes les requêtes basées sur le web.

Guidance

Security researchers must :

  • N'accéder qu'à la quantité minimale de données nécessaires. Par exemple, 2 ou 3 enregistrements devraient suffire à démontrer la plupart des vulnérabilités, telles qu'une énumération ou une vulnérabilité de référence directe à un objet.
  • Éviter d'utiliser des outils d'analyse technique de sécurité invasifs ou destructeurs à haute intensité pour découvrir des vulnérabilités.
  • Respecter la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de byrd. Par exemple, ne partagez pas, ne redistribuez pas, ou ne manquez pas de sécuriser correctement les données obtenues à partir de nos systèmes ou services.
  • Ne pas communiquer de vulnérabilités ou de détails associés par des méthodes non décrites dans cette politique.
  • Ne pas altérer les données dans les systèmes ou les services de l'entreprise.
  • Ne pas perturber les services ou les systèmes byrd.
  • Éviter de s'engager dans l'ingénierie sociale, les attaques de 'phishing' ou les attaques physiques contre le personnel ou l'infrastructure de l'entreprise.
  • Ne divulguez pas de vulnérabilités dans les systèmes ou services de byrd à des tiers ou au public avant que byrd n'ait confirmé que ces vulnérabilités ont été corrigées. Cela ne vous empêche pas de notifier une vulnérabilité à des tiers pour lesquels la vulnérabilité est directement pertinente, par exemple lorsque la vulnérabilité est présente dans une bibliothèque ou un cadre logiciel tiers. Toutefois, ne faites pas référence à des détails spécifiques de la vulnérabilité comme cela s'applique à la fraude dans de tels rapports.
  • Ne pas demander de compensation financière pour la divulgation de toute vulnérabilité.
  • Supprimer en toute sécurité toutes les données récupérées pendant la recherche dès qu'elles ne sont plus nécessaires ou dans un délai d'un mois à compter de la résolution de la vulnérabilité, selon ce qui arrive en premier.

Portée

Cette politique de divulgation s'applique uniquement aux vulnérabilités relevant des scopes DNS suivants : *.getbyrd.com :

  • Les vulnérabilités "dans le champ d'application" doivent être originales, non détectées auparavant et non déjà découvertes par des procédures internes.
  • Les vulnérabilités volumétriques n'entrent pas dans le champ d'application - ce qui signifie que le simple fait de submerger un service avec un volume élevé de requêtes n'entre pas dans le champ d'application.
  • Les rapports de vulnérabilités inexploitables ou les rapports indiquant que nos services ne sont pas entièrement conformes aux "meilleures pratiques", par exemple l'absence d'en-têtes de sécurité, ne font pas partie du champ d'application.
  • Les faiblesses de la configuration TLS, par exemple le support "faible" des suites de chiffrement ou la présence du support TLS1.0, ne sont pas couvertes.

Ce que l'on attend

Après la soumission de votre rapport de vulnérabilité, vous pouvez généralement vous attendre à recevoir une réponse dans les 72 heures ouvrables suivant la réception.

Notre équipe fera le tri de la vulnérabilité signalée et demandera des informations supplémentaires si nécessaire. Il s'agit notamment de clarifier si des détails supplémentaires sont nécessaires, si la vulnérabilité entre dans notre champ d'application ou s'il s'agit d'un rapport en double. Si une remédiation est nécessaire, la tâche est attribuée en interne aux membres de l'équipe concernés.

Les corrections ou les mitigations de bugs sont priorisées en fonction de la sévérité de l'impact et de la complexité de l'exploitation. Veuillez noter que le tri et le traitement des rapports de vulnérabilité peuvent prendre du temps. Bien que vous soyez invités à vous renseigner sur l'état d'avancement du processus, nous vous demandons de ne pas le faire plus souvent qu'une fois tous les 30 jours. Cela permet à nos équipes de se concentrer sur le traitement des rapports.

Dès que la vulnérabilité signalée aura été résolue ou que des travaux de remédiation auront été programmés, l'équipe chargée de la divulgation des vulnérabilités vous en informera. Vous serez également invité à confirmer si la solution apporte une réponse adéquate à la vulnérabilité.

Qualifier les vulnérabilités

Nous sommes en 2023 et nous supposons que vous connaissez les types de vulnérabilité communs dont une entreprise en ligne peut être affectée. Tant que l'incident représente un risque tangible pour notre position de sécurité, les données de nos clients ou autres, il est probable qu'il se qualifie. Veuillez comprendre qu'il s'agit d'une décision discrétionnaire que nous prenons au cas par cas pour chaque rapport reçu.

Exemples :

  • Injection SQL (SQLi)
  • Scripting intersite (XSS)
  • Exécution de code à distance (RCE)
  • Référence directe aux objets (IDOR)
  • escalade de privilèges horizontale et verticale
  • Contournement d'authentification & authentification brisée
  • Vulnérabilité Business Logic Errors avec impact réel sur la sécurité
  • Accès et manipulation de fichiers locaux (LFI, RFI, XXE, SSRF, XSPA)
  • Partage des ressources d'origine croisée (CORS) avec un impact réel sur la sécurité
  • Cross-site request forgery (CSRF) avec un impact réel sur la sécurité

Légalités

Cette politique est alignée sur les meilleures pratiques largement reconnues en matière de divulgation des vulnérabilités. Elle n'autorise pas les actions qui sont illégales ou qui pourraient causer la violation par byrd de toute obligation légale, y compris mais sans s'y limiter :

  • Loi sur les abus informatiques (1990)
  • Le règlement général sur la protection des données 2016/679 (RGPD) et la loi sur la protection des données 2018
  • Loi sur le droit d'auteur, les dessins et modèles et les brevets (1988)
  • La loi sur les secrets officiels (1989)

byrd affirme qu'elle ne cherchera pas à poursuivre tout chercheur en sécurité qui rapporte une vulnérabilité de sécurité dans un service ou système byrd, à condition que le chercheur ait agi de bonne foi et en accord avec cette politique de divulgation.

Signaler une vulnérabilité

Si vous avez découvert quelque chose que vous pensez être une vulnérabilité dans la portée, vous devriez d'abord vérifier les détails ci-dessus pour plus d'informations sur la portée, puis envoyer un rapport de vulnérabilité par e-mail à security@getbyrd.com.

Dans votre soumission, incluez les détails de :

  • Le site web ou la page où la vulnérabilité peut être observée.
  • Une brève description du type de vulnérabilité, par exemple une 'vulnérabilité XSS'.

Dans la mesure du possible, votre rapport doit contenir des preuves d'une exploitation bénigne et non destructive. Cela permet d'évaluer rapidement et précisément le rapport tout en réduisant le risque de soumissions en double ou d'exploitation malveillante de vulnérabilités, telles que les prises de contrôle de sous-domaines.

Learn more about security at byrd

Vos données sont sous notre responsabilité.

Tout en un coup d'œil

En savoir plus sur la sécurité chez byrd. Rencontre l'équipe responsable de la sécurité.
En savoir plus.

Aperçu

sécurité à byrd#

byrd's Security

Comment nous sécurisons notre Digital Workplace, Infrastructure & Applications, Data et plus encore. En savoir plus.

byrd's Security

FAQ

Un des principes de conception de sécurité de byrd est la transparence. Nous avons rassemblé les questions les plus fréquemment posées. En savoir plus

FAQ

Image en noir et blanc de personnes en train de chercher sur un ordinateur.
Comme on peut le voir sur
Services
Solution e-logistiqueNouvelles entreprisesDétaillants établisEntreprisesPour l'alimentation et les boissonsPour la beauté et la santéPour les appareils électriquesFournitures pour animauxAccessoires & BijouxPortail de retour personnaliséVendeur Fulfilled Prime Logistics
Integrationes
AperçuAmazonBillbeeChannelEngineMiraklPlentymarketsPrestaShopShopifyShopwareWooCommerceXentraleBayProcuros
Lieux
Réseau européen d'exécution des commandesCentre d'exécution des commandes AutricheCentre de traitement des commandes FranceCentre de traitement des commandes en AllemagneCentre de traitement des commandes Pays-BasCentre de traitement des commandes en ItalieCentre de traitement des commandes en EspagneE-logistique au Royaume-Uni
À propos de nous
TeamSustainabilityBlogNos clientsPresseCarrièrePartenaires
Liens supplémentaires
Termes et conditionsPolitique de confidentialitéEmpreinteContactCentre de sécuritéAide
EmpreintePolitique de confidentialité
Cookies
Conditions généralesContactAide
© Year - byrd technologies GmbH