🚨 Signalement d’une vulnérabilité
La sécurité de nos modules et de nos clients est une priorité absolue. C’est pourquoi nous encourageons les chercheurs en sécurité à analyser nos modules et à nous signaler toute vulnérabilité détectée, dans le respect des bonnes pratiques de divulgation responsable.
Nous nous engageons à identifier et corriger toute faille signalée, et à communiquer de manière transparente avec les parties prenantes tout au long du processus.
👉 Si vous pensez avoir découvert une vulnérabilité dans l’un de nos modules, vous pouvez nous la signaler de manière responsable à l’adresse suivante : contact [at] arnaud-merigeau.fr.
Merci de fournir le plus de détails possible (description, impact, version concernée, étapes de reproduction).
⚠️ Les signalements non reproductibles ou sans lien direct avec nos modules ne seront pas pris en compte.
📜 Politique de gestion des vulnérabilités
Conformément à la Charte TouchWeb pour une cybersécurité responsable, nous appliquons les principes suivants :
- Accusé de réception de tout signalement pertinent sous 7 jours maximum. (CVSS ≥ 7.5)
- Analyse d’impact et planification d’un correctif sous 30 jours maximum.
- Publication d’un avis de sécurité avec CVE si le score CVSS est ≥ 7.5.
- Aucune correction ne sera publiée de manière silencieuse.
Nos engagements complémentaires :
- Ne pas poursuivre les chercheurs agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS.
- Garantir qu’aucun accord de confidentialité (y compris en marque blanche) ne puisse empêcher la publication transparente d’un avis de sécurité avec identifiant CVE, conformément à l’état de l’art.
Nous considérons que cette transparence est essentielle pour permettre aux agences, intégrateurs et marchands de satisfaire à leurs obligations de conformité, notamment vis-à-vis du standard PCI-DSS (ou de ses déclinaisons allégées, comme la SAQ-A).
🛡️ Autorisation de publication
Nous autorisons expressément TouchWeb SAS à publier sur son site officiel les informations relatives aux vulnérabilités corrigées de nos modules, conformément aux engagements de la Charte de cybersécurité responsable.
Cette publication inclura :
- Un identifiant CVE associé à la vulnérabilité.
- Une note de sécurité détaillant le problème et sa résolution.
- Les versions concernées et la version corrigée.
- Un correctif facile à appliquer si la mise à jour n’est pas possible.
- Toute information utile pour aider utilisateurs et agences à se protéger rapidement.
🔍 Publications
Aucune publication à ce jour.