Splashtop Inc., l'un des principaux fournisseurs de logiciels et de services d'accès à distance, s'engage à assurer la sûreté et la sécurité de nos clients. À cette fin, Splashtop formalise désormais notre politique d'acceptation des rapports de vulnérabilité dans nos produits. Nous espérons favoriser un partenariat ouvert avec la communauté de la sécurité et nous reconnaissons que le travail de la communauté est important pour continuer à assurer la sécurité et la sûreté de tous nos clients.

Nous avons développé cette politique afin de refléter nos valeurs d'entreprise et de maintenir notre responsabilité légale envers les chercheurs en sécurité de bonne foi qui nous fournissent leur expertise.

Posture légale

Splashtop Inc. n'engagera aucune action en justice contre les personnes qui soumettent des rapports de vulnérabilité via notre formulaire de rapport de vulnérabilité. Nous acceptons ouvertement les rapports pour les produits Splashtop actuellement répertoriés. Nous nous engageons à ne pas poursuivre en justice les personnes qui:

  • Participez à des tests de systèmes / recherche sans nuire à Splashtop ou à ses clients
  • Participez à des tests de vulnérabilité dans le cadre de notre programme de publication des vulnérabilités
  • Contactez immédiatement Splashtop si vous rencontrez par inadvertance des données utilisateur. Ne visualisez pas, ne modifiez pas, n'enregistrez pas, ne stockez pas, ne transférez pas ou n'accédez pas aux données de toute autre manière et ne supprimez pas immédiatement les informations locales lorsque vous signalez la vulnérabilité à Splashtop.
  • Respectez les lois de leur emplacement et l'emplacement de Splashtop. Par exemple, la violation de lois qui n'entraînerait qu'une réclamation de Splashtop (et non une réclamation pénale) peut être acceptable car Splashtop autorise l'activité (ingénierie inverse ou contournement des mesures de protection) pour améliorer son système.
  • S'abstenir de divulguer les détails de la vulnérabilité au public avant l'expiration d'un délai mutuellement convenu

Critères de préférence, de priorisation et d'acceptation

Nous utiliserons les critères suivants pour prioriser et trier les soumissions.

Ce que nous souhaitons recevoir de vous:

  • Les rapports bien rédigés en anglais auront plus de chances d'être résolus.
  • Les rapports qui incluent un code de preuve de concept nous permettent de mieux trier.
  • Les rapports qui incluent uniquement les vidages sur incident ou d'autres sorties d'outils automatisés peuvent recevoir une priorité inférieure.
  • Les rapports qui incluent des produits ne figurant pas sur la liste de portée initiale peuvent recevoir une priorité inférieure.
  • Veuillez indiquer comment vous avez trouvé l'erreur, son impact et toute correction éventuelle.
  • Veuillez nous indiquer si vous souhaitez travailler avec nous pour divulguer une vulnérabilité. Nous ferons un effort honnête pour travailler avec vous sur la divulgation des vulnérabilités lorsque cela est possible.

Ce que vous pouvez attendre de nous:

  • Vous recevrez des commentaires sur votre soumission dans les 3 jours ouvrables suivant le tri de la soumission.
  • Après le triage, nous enverrons un calendrier prévu et nous nous engageons à être aussi transparents que possible sur le calendrier de correction ainsi que sur les problèmes ou défis susceptibles de le prolonger.
  • Une boîte de dialogue ouverte pour discuter des problèmes.
  • Notification lorsque l'analyse de vulnérabilité a terminé chaque étape de notre examen.

Si nous ne sommes pas en mesure de résoudre les problèmes de communication ou d'autres problèmes, Splashtop peut faire appel à un tiers neutre (tel que CERT / CC, ICS-CERT ou le régulateur compétent) pour vous aider à déterminer la meilleure façon de gérer la vulnérabilité.

Comment soumettre une vulnérabilité

Pour soumettre un rapport de vulnérabilité à l'équipe de sécurité des produits de Splashtop, veuillez remplir les informations suivantes:

Version

Version 1.0: Création d'une politique de communications responsable (05/12/2020)