Politique de divulgation des vulnérabilités

Introduction

Cette politique de divulgation des vulnérabilités s’applique à toutes les vulnérabilités que vous envisagez de nous signaler (la « Société »). Nous vous recommandons de lire attentivement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et d’agir toujours en conséquence.

Nous apprécions ceux qui prennent le temps et font l’effort de signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n’offrons pas de récompenses monétaires pour les divulgations de vulnérabilités.

Rapports

Si vous pensez avoir trouvé une faille de sécurité dans des produits ou services de Puredrive Energy (y compris nos produits de marque fabriqués sous licence), veuillez soumettez-nous votre rapport ici.

Directeur technique – Puredrive Energy Ltd, Unités 18a et 18b, Orchard Industrial Estate, Evesham Road, Toddington, Cheltenham, GL54 5EB

Dans votre rapport, veuillez inclure des détails sur :

  • Le site web, l’IP, la page ou l’application où la vulnérabilité peut être observée.
  • Une brève description du type de vulnérabilité, par exemple « vulnérabilité XSS ».
  • Étapes à suivre pour reproduire le problème. Il doit s'agir d'une preuve de concept bénigne et non destructive. Cela permet de garantir que le rapport peut être trié rapidement et avec précision. Cela réduit également le risque de doublons de rapports ou d'exploitation malveillante de certaines vulnérabilités, telles que les prises de contrôle de sous-domaines.

À quoi s'attendre de nous

  • Une fois votre rapport soumis, nous vous répondrons dans un délai de 5 jours ouvrables et nous nous efforcerons de le traiter dans un délai de 10 jours ouvrables. Nous nous efforcerons également de vous tenir informé de nos progrès.
  • La priorité de la correction est évaluée en fonction de l'impact, de la gravité et de la complexité de l'exploitation. Le tri ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Vous pouvez vous renseigner sur le statut, mais évitez de le faire plus d'une fois tous les 14 jours. Cela permet à notre équipe de se concentrer sur la correction.
  • Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre correctement la vulnérabilité.
  • Une fois la vulnérabilité signalée résolue, nous acceptons les demandes de divulgation de votre rapport. Nous unifierons les directives destinées aux utilisateurs concernés, veuillez donc continuer à coordonner la publication publique avec nous.

Vous ne devez PAS :

  • Enfreindre toute loi ou réglementation applicable
  • Accéder à des quantités de données inutiles, excessives ou importantes
  • Modifier les données dans les systèmes ou services de l’organisation
  • Utilisez des outils d'analyse invasifs ou destructeurs de haute intensité pour trouver des vulnérabilités
  • Tenter ou signaler toute forme de déni de service, par exemple, submerger un service avec un volume élevé de demandes
  • Perturber les services ou les systèmes de l’organisation
  • Soumettre des rapports détaillant les vulnérabilités non exploitables ou des rapports indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », par exemple des en-têtes de sécurité manquants
  • Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple la prise en charge « faible » de la suite de chiffrement ou la présence de la prise en charge TLS1.0
  • Communiquer toute vulnérabilité ou tout détail associé autrement que par les moyens décrits dans la présente politique et, le cas échéant, le security.txt publié
  • Ingénieur social, « hameçonnage » ou attaque physique du personnel ou de l’infrastructure de l’organisation
  • Exiger une compensation financière afin de révéler toute vulnérabilité

Vous devez :

  • Respectez toujours les règles de protection des données et ne violez pas la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de l’organisation. Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données récupérées à partir des systèmes ou des services.
  • Supprimez en toute sécurité toutes les données récupérées au cours de vos recherches dès qu'elles ne sont plus nécessaires ou dans les 14 jours suivant la résolution de la vulnérabilité, selon la première éventualité (ou comme l'exige la loi sur la protection des données).

Législation et bonnes pratiques

  • Cette politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Elle ne vous autorise pas à agir d'une manière qui soit incompatible avec la loi ou qui pourrait amener la Société ou les organisations associées à violer toute obligation légale.
  • Toutefois, si une action en justice est intentée par un tiers contre vous et que vous avez respecté cette politique, nous pouvons prendre des mesures pour faire savoir que vos actions ont été menées en conformité avec cette politique.

Nous apprécions votre aide pour assurer la sécurité de nos produits et services.

V1.1 Publié en 2025