Expédition à
Etats-Unis d'Amérique flagEtats-Unis d'Amérique

🔥 Expédition FedEx réduite pour CORE One ! 🚀

$USD
Français
Connexion

Politique de Sécurité de Prusa 3D

Introduction

Cette politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de signaler à Prusa Research a.s. (l'"Organisation") tant que le site web de l'Organisation dispose d'un fichier security.txt publié qui fait référence à cette politique.

Nous vous recommandons de lire entièrement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours agir en conformité avec celle-ci.

Nous apprécions ceux qui prennent le temps et les efforts nécessaires pour signaler les failles de sécurité conformément à cette politique. Nous récompenserons tout rapport de sécurité pertinent après évaluation soit par des moyens financiers soit par des biens matériels en fonction de la gravité du problème.

Faire un rapport

Si vous pensez avoir trouvé une vulnérabilité de sécurité liée au système de l'Organisation, veuillez soumettre un rapport de vulnérabilité à l'adresse définie dans le champ CONTACT du fichier security.txt publié.

Dans votre rapport, veuillez inclure des détails sur :

  • Le site web, l'adresse IP ou la page où la vulnérabilité peut être observée.
  • Une brève description du type de vulnérabilité, par exemple ; "Vulnérabilité XSS".
  • Étapes à reproduire. Celles-ci doivent constituer une preuve de concept bénigne et non destructive. Cela permet de s'assurer que le rapport peut être trié rapidement et avec précision. Cela réduit également la probabilité de rapports en double ou d'exploitation malveillante de certaines vulnérabilités, telles que les prises de contrôle de sous-domaines.

À quoi s'attendre

Une fois que vous avez soumis votre rapport, nous y répondrons dans les 5 jours ouvrables et visons à trier votre rapport dans les 10 jours ouvrables. Nous nous efforcerons également de vous tenir informé de nos progrès.

La priorité des mesures correctives est évaluée en examinant l'impact, la gravité et la complexité de l'exploit. Les rapports de vulnérabilité peuvent prendre un certain temps à trier ou à traiter. Vous pouvez vous renseigner sur le statut, mais vous devriez éviter de le faire plus d'une fois tous les 14 jours. Cela permet à nos équipes de se concentrer sur la remédiation.

Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois votre vulnérabilité résolue, nous acceptons les demandes de divulgation de votre rapport. Nous aimerions unifier nos conseils, alors continuez à coordonner la diffusion publique avec nous.

Conseils

Vous NE devez PAS :

  • Enfreindre toute loi ou réglementation applicable.
  • Accéder à des quantités de données inutiles, excessives ou importantes.
  • Modifier les données dans les systèmes ou services de l'Organisation.
  • Utilisez des outils d'analyse invasifs ou destructeurs à haute intensité pour trouver des vulnérabilités.
  • Tenter ou signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de demandes.
  • Interrompre les services ou les systèmes de l'Organisation.
  • Soumettre des rapports détaillant des vulnérabilités non exploitables ou des rapports indiquant que les services ne sont pas entièrement conformes aux "meilleures pratiques", par exemple des en-têtes de sécurité manquants.
  • Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple la prise en charge de la suite "faible" de chiffrement ou la présence de la prise en charge de TLS1.0.
  • Communiquer toute vulnérabilité ou détail associé autrement que par les moyens décrits dans le fichier security.txt publié.
  • Effectuer de l'ingénierie sociale, du hameçonnage ou d'attaque physique contre le personnel ou l'infrastructure de l'Organisation.
  • Exiger une compensation financière afin de divulguer toute vulnérabilité.

Vous devez :

  • Toujours respecter les règles de protection des données et ne devez pas violer la confidentialité des données détenues par l'Organisation. Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données extraites des systèmes ou des services.
  • Supprimer en toute sécurité toutes les données récupérées au cours de votre recherche dès qu'elles ne sont plus nécessaires ou dans un délai d'un mois après la résolution de la vulnérabilité, selon la première éventualité (ou comme autrement requis par la loi sur la protection des données).

Légalités

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes de divulgation des vulnérabilités. Elle ne vous donne pas la permission d'agir d'une manière qui est incompatible avec la loi, ou qui pourrait amener l'Organisation ou les organisations partenaires à enfreindre toute obligation légale.