Politique de divulgation des vulnérabilités

SharpSpring de Constant Contact (SharpSpring) prend très au sérieux la sécurité de nos plateformes et des données de nos utilisateurs. Si vous avez découvert ou pensez avoir découvert des vulnérabilités de sécurité potentielles dans un service SharpSpring, nous vous encourageons à nous divulguer votre découverte le plus rapidement possible conformément à ce programme de divulgation des vulnérabilités. Veuillez noter que le programme de divulgation des vulnérabilités est différent d'une prime de bogue. Le programme de divulgation des vulnérabilités permet aux pirates éthiques de trouver et de signaler des vulnérabilités, mais il ne fournit pas de compensation monétaire. SharpSpring se réserve le droit d'accepter ou de rejeter toute soumission.

Safe Harbor

Si vous découvrez et signalez des failles de sécurité conformément à ce [Programme de divulgation des vulnérabilités], nous considérons que cette recherche est :

  • Autorisé conformément à la loi sur la fraude et les abus informatiques (CFAA) (et/ou des lois étatiques similaires), et nous n'engagerons ni ne soutiendrons aucune action en justice contre vous pour des violations accidentelles et de bonne foi de la présente politique de divulgation volontaire ;
  • Exempté du Digital Millennium Copyright Act (DMCA), et nous n'intenterons pas de réclamation contre vous pour contournement des contrôles technologiques ;
  • Exempté de restrictions dans notre Conditions d'utilisation cela interférerait avec la conduite de recherches de sécurité, et nous renonçons à ces restrictions sur une base limitée pour le travail effectué dans le cadre de ce [Programme de divulgation des vulnérabilités] ; et
  • Légales, utiles à la sécurité globale d'Internet et conduites de bonne foi.

Vous êtes tenu, comme toujours, de vous conformer à toutes les lois applicables. Si, à tout moment, vous avez des inquiétudes ou si vous n'êtes pas certain que votre recherche de sécurité est conforme à ce [Programme de divulgation des vulnérabilités], veuillez nous contacter avant d'aller plus loin.

Admissibilité

Vous ne pouvez pas participer à ce programme si vous êtes un employé ou un membre de la famille d'un employé, ou un fournisseur actuel ou un employé d'un tel fournisseur, de SharpSpring ou de l'une de ses filiales. Il vous est également interdit de participer si vous vous trouvez (i) dans un pays ou un territoire qui est la cible de sanctions américaines (y compris Cuba, l'Iran, la Syrie, la Corée du Nord ou la région de Crimée en Ukraine), (ii) désigné comme pays spécialement Personne nationale désignée ou bloquée par le Bureau du contrôle des actifs étrangers du Département du Trésor des États-Unis ou autrement détenue, contrôlée ou agissant au nom d'une telle personne ou entité, ou (iii) autrement une partie interdite en vertu des lois américaines sur le contrôle du commerce et des exportations.

Politique de divulgation discrétionnaire :

Étant donné que la divulgation publique d'une vulnérabilité de sécurité pourrait mettre en danger l'ensemble de la communauté SharpSpring, nous vous demandons de garder ces vulnérabilités potentielles confidentielles jusqu'à ce que nous soyons en mesure de les résoudre. Par conséquent, la divulgation publique des détails de la soumission de toute vulnérabilité identifiée ou présumée sans le consentement écrit exprès de SharpSpring considérera la soumission comme non conforme à la présente politique de divulgation des vulnérabilités. 

Découvrir les vulnérabilités de sécurité

Nous encourageons une recherche de sécurité responsable sur les services et produits SharpSpring. Nous vous permettons d'effectuer des recherches et des tests de vulnérabilité sur les services et produits SharpSpring auxquels vous avez un accès autorisé. En aucun cas, vos recherches et tests n'impliqueront, sans s'y limiter :

  • Accéder ou tenter d'accéder à des comptes ou à des données qui ne vous appartiennent pas, ni à vos utilisateurs autorisés,
  • Toute tentative de téléchargement, de modification ou de destruction de données,
  • Exécuter ou tenter d'exécuter une attaque par déni de service,
  • Envoyer ou tenter d'envoyer des e-mails non sollicités ou non autorisés, des spams ou d'autres formes de messages non sollicités,
  • Tester des sites Web, des applications ou des services tiers qui s'intègrent à tous les services SharpSpring,
  • Publier, transmettre, télécharger, créer des liens vers, envoyer ou stocker des logiciels malveillants, des virus ou des logiciels nuisibles similaires, ou tenter d'une autre manière d'interrompre ou de dégrader les services SharpSpring.
  • Toute activité qui viole toute loi applicable.

Signalement des vulnérabilités de sécurité dans le champ d'application

Si vous pensez avoir découvert un problème de vulnérabilité de sécurité, veuillez partager les détails avec SharpSpring en remplissant notre Formulaire de soumission. Nous travaillerons avec vous pour valider et répondre aux vulnérabilités de sécurité que vous nous signalez. Votre rapport sera transmis à notre partenaire (BugCrowd) pour une reconnaissance et une vérification en temps opportun. Vous êtes récompensé par des « points » pour chaque signalement valablement accepté effectué. Vous devez être la première personne à signaler le bogue pour gagner tous les points possibles.

Les problèmes vérifiés seront transmis à nos équipes de développement pour être corrigés dans un délai proportionné à la gravité du problème (tel que défini par la taxonomie d'évaluation des vulnérabilités de BugCrowd). {https://bugcrowd.com/vulnerability-rating-taxonomy}

Veuillez ne pas envoyer d'e-mails de vulnérabilité directement aux employés de SharpSpring. La communication par e-mail entre vous et SharpSpring, y compris, sans s'y limiter, les e-mails que vous envoyez à SharpSpring signalant une vulnérabilité de sécurité potentielle, ne doit contenir aucune de vos informations exclusives. Le contenu de toutes les communications par e-mail que vous envoyez à SharpSpring sera considéré comme non exclusif. SharpSpring, ou l'un de ses affiliés, peut utiliser cette communication ou ce matériel à quelque fin que ce soit, y compris, mais sans s'y limiter, la reproduction, la divulgation, la transmission, la publication, la diffusion et la publication ultérieure.

 

Hors champ d'application 

Vous trouverez ci-dessous une liste partielle des problèmes que nous vous demandons de ne pas signaler, sauf si vous pensez qu'il existe une vulnérabilité réelle :

  • CSRF sur les formulaires accessibles aux utilisateurs anonymes
  • Divulgation de fichiers ou répertoires publics connus (par exemple, robots.txt)
  • Suggestions de configuration des extensions de sécurité du système de noms de domaine (DNSSEC)
  • Divulgation des bannières sur les services communs/publics
  • Suggestions de configuration d'en-tête de sécurité HTTP/HTTPS/SSL/TLS
  • Absence d'indicateurs Secure/HTTPOnly sur les cookies non sensibles
  • Contrefaçon de requête intersite de déconnexion (CSRF de déconnexion)
  • Techniques d'hameçonnage ou d'ingénierie sociale
  • Présence d'une application ou d'une fonctionnalité de « saisie semi-automatique » ou « d'enregistrement du mot de passe » dans le navigateur Web
  • Configuration SPF (Sender Policy Framework) et suggestions d'authentification, de rapport et de conformité des messages basés sur le domaine (DMARC)

En participant à ce programme de divulgation des vulnérabilités, vous reconnaissez avoir lu et accepté les conditions d'utilisation de SharpSpring Conditions d'utilisation et le Politique de confidentialité, aussi bien que Conditions de divulgation standard de BugCrowd. En cas de conflit entre les conditions d'utilisation de SharpSpring et les conditions de divulgation standard de BugCrowd, les conditions d'utilisation de SharpSpring prévaudront.