Politique de divulgation des vulnérabilités

1. Introduction

La politique de divulgation des vulnérabilités de Cleva encourage les chercheurs en sécurité et le public à fournir un retour d'information et à participer à la recherche et à la divulgation responsables des vulnérabilités. Si vous pensez avoir découvert des vulnérabilités, des données exposées ou d'autres problèmes de sécurité, nous vous invitons à nous contacter. Cette politique décrit les étapes à suivre pour nous signaler des vulnérabilités et élucide la politique de Cleva en matière d'identification et de signalement de vulnérabilités potentielles.

2. La définition

• Fenêtre de confidentialité : Si nous acceptons votre rapport de vulnérabilité, notre objectif est d'achever les travaux de réparation et de publier le programme de réparation dans les 90 jours suivant la confirmation initiale. Si des informations supplémentaires sont nécessaires pour confirmer la vulnérabilité, nous vous contacterons. Si nous n'avons pas reçu de réponse après trois tentatives, nous pouvons clore le dossier, mais nous continuons à recevoir des rapports de vulnérabilité à l'avenir.

• Nous : Dans la présente politique, "nous" fait référence à Cleva et englobe notre marque.

• Signaler une vulnérabilité : veuillez signaler les vulnérabilités à Cleva par courrier électronique : [email protected]

• Canal officiel de divulgation : canal de communication pour la divulgation de la vulnérabilité : https://www.eu.cleva.com/

3. Méthode de signalement des vulnérabilités

Si vous découvrez des problèmes de sécurité en testant ou en utilisant les produits ou services Cleva , veuillez envoyer des informations détaillées sur vos découvertes par courrier électronique à notre canal de signalement officiel ([email protected]). L'utilisation d'autres canaux de signalement peut entraîner des retards de réponse ou de la négligence.

Dans la mesure du possible, veuillez inclure les informations suivantes dans le rapport de vulnérabilité :

• Les produits ou services spécifiques concernés, y compris tout numéro de version pertinent.

• Informations détaillées sur l'impact du problème ; toute information permettant de reproduire ou de diagnostiquer le problème.

• Si vous pensez que la vulnérabilité a été divulguée publiquement ou qu'elle est connue d'un tiers.

4. Notre engagement

Lorsque vous travaillez avec nous et conformément à la présente politique :

1. Actuellement, nous n'offrons pas et ne participons pas au programme Permanent Vulnerability Bounty. Nous n'acceptons pas les paiements de primes, les documents promotionnels ou les demandes de crédit en dehors du processus de publication des annonces de sécurité.

2. Nous confirmerons au préalable et fournirons un numéro de suivi dans les 5 jours ouvrables suivant la réception de votre rapport de vulnérabilité.

3. Nous enverrons une confirmation d'acceptation de la vulnérabilité dans les 30 jours suivant la confirmation initiale, qui comprendra un délai suggéré pour la correction. Si nous n'acceptons pas le rapport, nous en donnerons les raisons et resterons ouverts à toute nouvelle information concernant le rapport.

Une fois que les vulnérabilités signalées sont confirmées, nos ingénieurs s'emploient à mettre au point les correctifs appropriés.

Si certaines vulnérabilités ne peuvent être résolues dans le délai de 90 jours, nous travaillerons avec vous pour prolonger la période de confidentialité ou vous proposer d'autres suggestions. Le délai de résolution de la solution peut être affecté par

• Les délais des fournisseurs en amont sont différents des nôtres.

• Si un nombre important de modifications architecturales est nécessaire pour remédier à cette vulnérabilité.

• Exigences de vérification complexes ou étendues causées par des changements de microprogrammes de bas niveau.

Nous émettons indépendamment des avis de sécurité afin de fournir des informations de sécurité importantes à nos clients et au public. Si l'une des conditions suivantes est remplie, nous vous encourageons à découvrir et à signaler les vulnérabilités liées à nos avis de sécurité ou aux CVE (Common Vulnerabilities and Exposures) :

• La vulnérabilité signalée affecte les produits Cleva actuellement pris en charge,

• Nous apportons des modifications au code ou à la configuration à la suite du problème,

• Vous êtes le premier à signaler cette vulnérabilité,

• Votre recherche est conforme à notre politique de divulgation responsable, et

• Vous acceptez de confirmer les résultats dans le cadre du processus d'établissement du rapport.

Les modèles suivants sont pris en charge par des mises à jour logicielles jusqu'au 31 décembre 2035 :

• VBRM18AMIDR , VBRM18AMID2R, VBRM18AMID4R, VBRM18AMID8R

• AMD18,AMD18i2, AMD18P2,AMD18i4, AMD18P4,AMD18i8, AMD18P8

• AMB18,AMB18i2, AMB18P2,AMB18i4, AMB18P4,AMB18i8, AMB18P8

• AMD16, AMD16i2, AMD16P2, AMD16i4, AMD16P4

• AMB16,AMB16i2, AMB16P2, AMB16i4, AMB16P4

• AMD18B,AMD18i2B,AMD18P2B,AMD18i4B,AMD18P4B,AMD18i8B,AMD18P8B

• AMB18B,AMB18i2B,AMB18P2B,AMB18i4B,AMB18P4B,AMB18i8B,AMB18P8B

• AMD16B,AMD16i2B, AMD16P2B, AMD16i4B, AMD16P4B

• AMB16B,AMB16i2B, AMB16P2B, AMB16i4B, AMB16P4B

• AMD18C,AMD18i2C,AMD18P2C,AMD18i4C,AMD18P4C,AMD18i8C,AMD18P8C

• AMB18C,AMB18i2C,AMB18P2C,AMB18i4C,AMB18P4C,AMB18i8C,AMB18P8C

• AMD16C,AMD16i2C, AMD16P2C, AMD16i4C, AMD16P4C

• AMB16C,AMB16i2C, AMB16P2C, AMB16i4C, AMB16P4C

• AMD18D,AMD18i2D,AMD18P2D,AMD18i4D,AMD18P4D,AMD18i8D,AMD18P8D

• AMB18D,AMB18i2D,AMB18P2D,AMB18i4D,AMB18P4D,AMB18i8D,AMB18P8D

• AMD16D,AMD16i2D, AMD16P2D, AMD16i4D, AMD16P4D

• AMB16D,AMB16i2D, AMB16P2D, AMB16i4D, AMB16P4D

• AMD18E,AMD18i2E,AMD18P2E,AMD18i4E,AMD18P4E,AMD18i8E,AMD18P8E

• AMB18E,AMB18i2E,AMB18P2E,AMB18i4E,AMB18P4E,AMB18i8E,AMB18P8E

• AMD16E,AMD16i2E, AMD16P2E, AMD16i4E, AMD16P4E

• AMB16E,AMB16i2E, AMB16P2E, AMB16i4E, AMB16P4E

• AMD18F,AMD18i2F,AMD18P2F,AMD18i4F,AMD18P4F,AMD18i8F,AMD18P8F

• AMB18F,AMB18i2F,AMB18P2F,AMB18i4F,AMB18P4F,AMB18i8F,AMB18P8F

• AMD16F,AMD16i2F, AMD16P2F, AMD16i4F, AMD16P4F

• AMB16F,AMB16i2F, AMB16P2F, AMB16i4F, AMB16P4F

• AMD18G,AMD18i2G,AMD18P2G,AMD18i4G,AMD18P4G,AMD18i8G,AMD18P8G

• AMB18G,AMB18i2G,AMB18P2G,AMB18i4G,AMB18P4G,AMB18i8G,AMB18P8G

• AMD16G,AMD16i2G, AMD16P2G, AMD16i4G, AMD16P4G

• AMB16G,AMB16i2G, AMB16P2G, AMB16i4G, AMB16P4G

Les modèles ci-dessus sont des modèles de base et sont présentés sans suffixe. Les modèles de base peuvent avoir le suffixe Plus/Max/Pro/3D/3DPro/3D-Pro/Ultra/SE, qui peuvent être vendus dans différentes régions de vente. Les modèles contenant "18" appartiennent à la même série, et les modèles contenant "16" représentent également des produits de la même série.

5. Nos attentes

Lorsque vous participez à notre programme de divulgation des vulnérabilités, vous devez lire, comprendre et accepter notre politique de divulgation des vulnérabilités, y compris tous les termes et conditions. Le respect de cette politique est obligatoire.

Si vous n'êtes pas d'accord avec la politique ou ses conditions, veuillez cesser de participer. Nous ne fournirons pas de services connexes aux personnes qui n'acceptent pas les conditions.

En continuant à participer, vous reconnaissez que vous comprenez et acceptez pleinement toutes les politiques et conditions applicables décrites ci-dessous.

1). Respect des règles

• Vous devez vous conformer à cette politique et à tout autre accord applicable.

• En cas de conflit entre la présente politique et d'autres conditions, la présente politique prévaut.

2). Divulgation en temps utile et de manière responsable

• Signaler les vulnérabilités dès qu'elles sont découvertes.

• Ne partagez pas les informations relatives à la vulnérabilité avec des personnes extérieures à Cleva avant de soumettre votre rapport.

3). Traitement des données sensibles

• Si, au cours d'un test, vous accédez à des informations exclusives de Cleva, à des données de clients, à des données d'employés ou à d'autres informations commerciales sensibles, que ce soit de manière intentionnelle ou non, vous devez

  • Ne pas utiliser, stocker, partager ou enregistrer ces informations sous quelque forme que ce soit.

  • Documentez clairement cet accès dans votre rapport de vulnérabilité.

4). Essais responsables

• Lors des tests de sécurité, vous devez éviter :

  • Violation de la vie privée des utilisateurs.

  • Interruption des systèmes de production.

  • Dégradation de l'expérience utilisateur.

  • causer une perte ou une violation de données.

• Plus précisément, vous ne devez pas

  • Effectuer des tests destructifs (tels que le déni de service).

  • Accéder à des données non autorisées ou les modifier.

  • Attaquer le personnel, les actifs, les centres de données, les partenaires ou les affiliés de Cleva .

  • Utiliser l'ingénierie sociale ou faire une fausse déclaration d'identité ou d'autorité.

  • violer toute loi ou tout accord applicable afin de découvrir des failles.

  • Effectuer des recherches sur les produits/services en dehors de leur cycle de vie de sécurité.

5). Rapports et licences

• Soumettre tous les rapports de sécurité exclusivement par le biais du processus officiel de signalement des vulnérabilités de Cleva.

• En soumettant un rapport, vous accordez à Cleva une licence mondiale, perpétuelle, libre de redevances et non exclusive pour utiliser votre soumission afin d'améliorer nos produits et services.

6. La confidentialité

• Ne divulguez pas publiquement une vulnérabilité tant que Cleva n'a pas résolu le problème et publié un bulletin de sécurité officiel.

• Vous devez obtenir l'autorisation écrite de Cleva avant de communiquer à l'extérieur les données relatives à votre vulnérabilité.

7. Accès aux données et protection des utilisateurs

• Si une vulnérabilité permet d'accéder à des données, il faut limiter l'accès à ce qui est strictement nécessaire à la vérification.

• Si vous rencontrez des données sensibles (telles que des informations personnelles identifiables (PII), des informations personnelles de santé (PHI), des détails de paiement ou des informations propriétaires), arrêtez immédiatement le test et signalez l'incident à Cleva.

• N'interagissez qu'avec les comptes de test dont vous êtes propriétaire ou pour lesquels vous avez reçu l'autorisation explicite du titulaire du compte.