Política de seguridad

Nuestra política de gestión de vulnerabilidades

De acuerdo con Carta TouchWeb para una ciberseguridad responsableNuestro equipo aplica los siguientes principios:

• Acuse de recibo de todos los informes pertinentes en un plazo máximo de 7 días. (CVSS ≥ 7.5)
• Análisis del impacto y planificación de un parche en un plazo de 30 días.
• Publicación de un aviso de seguridad con CVE si la puntuación CVSS es ≥ 7,5.
• No se publicarán correcciones en silencio.

Al mismo tiempo, asumimos los siguientes compromisos para garantizar una gestión responsable y ética de las vulnerabilidades:

• No perseguir a los investigadores que actúen de buena fe, en particular en el marco del programa YesWeHack gestionado por TouchWeb SAS.
• Garantizar que ningún acuerdo de confidencialidad, incluido un acuerdo de marca blanca, pueda obstaculizar la publicación transparente de un aviso de seguridad con un identificador CVE, de conformidad con el estado de la técnica.

Sabemos muy bien que esta transparencia es esencial para que los terceros interesados (agencias, comerciantes, etc.) puedan cumplir sus obligaciones de conformidad, en particular con la norma PCI-DSS o una de sus versiones más ligeras, como SAQ-A.

Autorización de publicación

Autorizamos expresamente a TouchWeb SAS a publicar información sobre vulnerabilidades corregidas en nuestros módulos en su sitio web oficial, en consonancia con los compromisos de la Carta de Ciberseguridad Responsable. Esta publicación incluye :

• Un identificador CVE asociado a la vulnerabilidad.
• Una nota de seguridad que describa claramente el problema y su resolución.
• Las versiones afectadas y la versión corregida.
• Un parche fácil de desplegar cuando la actualización no es posible.
• Cualquier información útil que permita a los usuarios y organismos protegerse rápidamente.