La sécurité en ligne est importante pour Marketplacer et nous apprécions le travail entrepris par les chercheurs en sécurité. Cette politique décrit comment divulguer de manière responsable les défauts de sécurité ou les vulnérabilités affectant les produits et services de Marketplacer.
Lignes directrices
L'identification et la divulgation des failles de sécurité aident Marketplacer à protéger la sécurité et la vie privée de tous ceux qui utilisent les services de Marketplacer.
Nous exigeons que tous les chercheurs :
- Faire tous les efforts possibles pour éviter les violations de la vie privée, la dégradation de l'expérience de l'utilisateur, la perturbation des systèmes de production et la destruction des données appartenant à Marketplacer et à nos clients pendant les tests ;
- Effectuer des recherches uniquement dans les limites du champ d'application défini ci-dessous et dans le respect des lois applicables (y compris les lois en vigueur dans le pays du chercheur, en Australie et, dans certains cas, aux États-Unis) ;
- utiliser les canaux de communication identifiés pour nous communiquer des informations sur les vulnérabilités ; et
- Garder l'information sur la découverte de tout défaut ou vulnérabilité confidentielle entre vous et Marketplacer jusqu'à ce que suffisamment de temps se soit écoulé pour résoudre le problème, mais pas moins de 90 jours à partir de la date de notification de la vulnérabilité à Marketplacer.
Si vous suivez ces lignes directrices lorsque vous nous signalez un problème, nous nous engageons à.. :
- Ne pas intenter d'action en justice liée à votre découverte et à votre signalement de la vulnérabilité (en cas de non-respect des présentes lignes directrices, nous nous réservons tous nos droits légaux) ;
- travailler avec vous pour comprendre et résoudre rapidement le problème (y compris une première confirmation de votre rapport dans les 5 jours ouvrables suivant la réception de la demande) ; et
- Reconnaître votre contribution dans notre Temple de la renommée des chercheurs en sécurité, si vous êtes le premier à signaler un problème que nous n'avons pas encore découvert et que nous apportons une modification au code ou à la configuration sur la base de votre rapport.
Champ d'application
Cette politique de divulgation ne s'applique qu'aux vulnérabilités des produits et services de Marketplacer :
- qui sont originaux, n'ont pas été signalés auparavant et n'ont pas été découverts par les procédures internes ; et
- Pour les domaines/sous-domaines Marketplacer qui ont un fichier security.txt (i.e. https:///. well-known/security.txt).
Hors champ d'application
Les fournisseurs et services tiers sont exclus du champ d'application.
Dans l'intérêt de la sécurité de nos utilisateurs, de notre personnel, de l'Internet en général et de vous en tant que chercheur en sécurité, les types de tests suivants sont exclus du champ d'application :
- Les résultats des tests physiques tels que l'accès aux bureaux (par exemple, portes ouvertes, queue de poisson) ;
- Résultats obtenus principalement par le biais de l'ingénierie sociale (par exemple, phishing, vishing) ;
- Résultats obtenus à partir d'un compte qui ne vous appartient pas ;
- Constatations concernant des applications ou des systèmes qui ne figurent pas dans la section "Champ d'application" ;
- les bogues de l'interface utilisateur et de l'interface graphique, y compris les fautes d'orthographe ; et
- Vulnérabilités de déni de service au niveau du réseau (DoS/DDoS).
Des choses que nous ne voulons pas recevoir :
- Informations personnelles identifiables (IPI) ;
- Données relatives aux détenteurs de cartes de crédit ;
- toute autre donnée sensible telle que définie par la loi australienne sur la protection de la vie privée ; et
- Rapports indiquant que nos services ne sont pas entièrement conformes aux "meilleures pratiques", par exemple des en-têtes de sécurité manquants (CSP, x-frame-options, x-prevent-xss, etc.) ou une configuration sous-optimale liée au courrier électronique (SPF, DMARC, etc.).
Cette politique vise à s'aligner sur toutes les exigences législatives pertinentes et ne vous autorise pas à enfreindre les lois ni à faire en sorte que Marketplacer enfreigne les lois.
Comment signaler une faille de sécurité
Si vous pensez avoir identifié un défaut de sécurité ou une vulnérabilité dans l'un de nos produits ou l'une de nos plates-formes, veuillez nous en faire part en envoyant un courriel à security-vulnerability@marketplacer.com.
Votre rapport doit contenir les informations suivantes :
- Description de la localisation et de l'impact potentiel de la vulnérabilité ;
- Une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts POC, les captures d'écran et les captures d'écran compressées nous sont tous utiles) ; et,
- Votre nom, votre poignée et un lien pour une reconnaissance dans notre Hall of Fame.
En nous signalant une divulgation de vulnérabilité, vous consentez à ce que nous recueillions et conservions votre nom de chercheur et/ou votre pseudonyme dans le but de publier vos coordonnées dans notre temple de la renommée de la divulgation responsable et pour nos archives internes.
(Si vous ne souhaitez pas que vos coordonnées soient publiées, veuillez nous en informer au moment de la divulgation).
Nous vous demandons de crypter votre rapport en utilisant notre clé PGP et de supprimer toute donnée dès qu'elle n'est plus raisonnablement nécessaire.
Si vous n'êtes pas sûr que vos actions sont conformes à notre politique, veuillez contacter notre équipe de sécurité pour obtenir des conseils sur security-vulnerability@marketplacer.com.
Nous pouvons mettre à jour et réviser cette politique de temps à autre. Toute mise à jour sera mentionnée ci-dessous.