Politique de divulgation des vulnérabilités de BigID

Introduction

BigID s'engage à fournir des logiciels sécurisés à ses clients. L'équipe PSIRT (Product Security Incident Response Team) de BigID encourage et apprécie les rapports responsables sur les vulnérabilités qui nous aident à maintenir la sécurité de nos produits et de nos systèmes. La présente politique de divulgation des vulnérabilités (VDP) est conçue pour guider les chercheurs en sécurité dans leurs activités de découverte des vulnérabilités et de signalement des vulnérabilités à BigID.

Champ d'application

La politique s'applique à ces domaines :

• *.bigid.com
• *.bigid.cloud
• *.bigidprivacy.cloud

Les types de vulnérabilités suivants sont exclus du champ d'application de cette politique :

• Bibliothèques vulnérables précédemment connues sans preuve de concept opérationnelle.
• Vulnérabilités affectant uniquement les utilisateurs de navigateurs obsolètes ou non corrigés.
• Attaques qui nécessitent l'utilisation de MITM pour être exploitées.
• Problèmes d'usurpation de contenu et d'injection de texte sans montrer de vecteur d'attaque/sans pouvoir modifier HTML/CSS.
• Vulnérabilités théoriques qui nécessitent une interaction ou des circonstances improbables de la part de l'utilisateur (détournement de liens brisés, tabnabbing, etc.).
• Les vulnérabilités qui n'ont pas d'impact réel sur la sécurité (clickjacking, CSRF sur des points d'extrémité non sensibles, etc.)
• Étapes facultatives de renforcement de la sécurité / Meilleures pratiques manquantes (configurations SSL/TLS, avis de configuration CSP, etc.)
• Vulnérabilités pouvant nécessiter des tests dangereux. Ce type de test ne doit jamais être tenté, sauf autorisation écrite explicite de BigID (attaques DoS, DDoS, ingénierie sociale, etc.).

Processus

BigID accepte les rapports de vulnérabilité dans le champ d'application via [email protected]. Veuillez fournir tous les détails pertinents dans votre rapport, y compris :

• Détails sur l'impact de la CIA, idéalement avec une évaluation basée sur le calculateur CVSS ;
• Les étapes détaillées pour reproduire la vulnérabilité ; et
• Actifs, domaines et/ou logiciels affectés.

BigID accorde une grande importance à la transparence et à la coopération tout au long du processus de signalement. Nous nous efforçons d'accuser rapidement réception des rapports et de partager les mises à jour pertinentes avec les rapporteurs aussi souvent que la disponibilité du PSIRT et les procédures de sécurité le permettent.

En contrepartie, nous vous demandons de vous abstenir de divulguer la vulnérabilité au public ou à un tiers jusqu'à ce que BigID ait eu la possibilité de valider et de remédier à la vulnérabilité et de notifier les utilisateurs concernés. Ensuite, nous vous demandons de coordonner avec BigID le calendrier et le contenu de toute divulgation. Nous vous demandons également de tout mettre en œuvre pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données tout au long du processus.

BigID n'offre pas de rémunération pour les vulnérabilités signalées dans le cadre de cette politique. Une compensation n'est fournie que pour certains rapports soumis via le programme privé de Bug Bounty de BigID par l'intermédiaire de HackerOne. Pour plus d'informations sur la portée des actifs et l'éligibilité au programme Bug Bounty de BigID, contactez-nous à l'adresse [email protected].

La sphère de sécurité

BigID a adopté le Gold Standard Safe Harbor pour soutenir la protection des organisations et des pirates informatiques qui effectuent des recherches de sécurité de bonne foi. On entend par "recherche de sécurité de bonne foi" l'accès à un ordinateur uniquement à des fins de test, d'enquête et/ou de correction de bonne foi d'une faille de sécurité ou d'une vulnérabilité, lorsque cette activité est menée de manière à éviter tout préjudice aux individus ou au public et que les informations tirées de cette activité sont utilisées principalement pour promouvoir la sécurité ou la sûreté de la catégorie d'appareils, de machines ou de services en ligne à laquelle appartient l'ordinateur accédé ou de ceux qui utilisent ces appareils, ces machines ou ces services en ligne.

Nous considérons que la recherche de sécurité de bonne foi est une activité autorisée que nous protégeons de toute action juridique contradictoire. Nous renonçons à toute restriction pertinente dans nos conditions d'utilisation qui serait en contradiction avec la norme relative à la recherche de sécurité de bonne foi décrite ici.

Cela signifie que pour les recherches de sécurité effectuées de bonne foi dans le but de se conformer à la politique de notre programme et tant que ce programme est actif, nous pouvons

• n'intentera pas d'action en justice contre vous ou ne vous dénoncera pas, y compris pour avoir contourné les mesures technologiques que nous utilisons pour protéger les applications en question ; et
• Prendre des mesures pour faire savoir que vous avez effectué une recherche de sécurité de bonne foi si quelqu'un intente une action en justice contre vous.

Vous devez nous contacter à l'adresse [email protected] pour obtenir des éclaircissements avant d'adopter un comportement que vous jugez incompatible avec la recherche de sécurité de bonne foi ou qui n'est pas pris en compte par notre politique.

N'oubliez pas que nous ne sommes pas en mesure d'autoriser la recherche en matière de sécurité sur l'infrastructure d'un tiers et qu'un tiers n'est pas lié par la présente déclaration de la "sphère de sécurité".