Passer au contenu principal

Politique de divulgation responsable de Keenfinity

Keenfinity propose des produits de la meilleure qualité et fiabilité. Cela inclut également la fourniture de cybersécurité et la protection de la vie privée de nos clients tout au long du cycle de vie du produit. L'organisation Keenfinity Product Security soutient cette démarche en aidant à résoudre les problèmes de sécurité dans les produits Keenfinity signalés par des chercheurs en sécurité externes, des partenaires ou des clients.

L'organisation de sécurité des produits Keenfinity coordonne les mesures en cas de vulnérabilités ou d'incidents de sécurité potentiels avec les ingénieurs et les équipes de développement responsables, notamment en établissant un plan de réponse approprié et en maintenant une communication régulière avec la partie signalante. Keenfinity encourage la divulgation coordonnée des vulnérabilités et nous demandons à la partie signalante de garder la vulnérabilité confidentielle jusqu'à ce que nous mettions un correctif à disposition.

Nous accueillons et encourageons les rapports de vulnérabilité provenant directement des chercheurs, des groupes industriels, des CERT (Computer Emergency Response Teams), des partenaires et de toute autre source. Nous respectons les intérêts de la partie signalante (les signalements anonymes sont également les bienvenus) et acceptons de traiter toute vulnérabilité raisonnablement considérée comme liée à nos produits ou services. Nous encourageons vivement les parties déclarantes à procéder à une divulgation coordonnée, car une divulgation publique immédiate expose les systèmes de nos clients à des risques inutiles.

Nous apprécions et reconnaissons les efforts déployés par les parties signalant les vulnérabilités pour identifier et signaler les vulnérabilités et travailler avec nous pour assurer la sécurité des clients de Keenfinity et de la communauté au sens large.

Engagement Keenfinity

Nous demandons à la partie signalante de ne pas partager ou publier une vulnérabilité non résolue avec/à des tiers.

En suivant la politique de divulgation responsable de Keenfinity, l'organisation de sécurité des produits Keenfinity et les équipes de développement associées déploieront des efforts raisonnables pour :

  • Répondre rapidement et accuser réception du rapport de vulnérabilité
  • Fournir un délai estimé pour traiter le rapport de vulnérabilité
  • Informer la partie signalante lorsque la vulnérabilité a été corrigée

Notre délai de réponse standard pour accuser réception des rapports de vulnérabilité est généralement de 2 jours ouvrables. Des mises à jour de statut des vulnérabilités signalées sont fournies lorsque des informations pertinentes deviennent disponibles.

Keenfinity s'engage à ne pas poursuivre les parties déclarantes en justice concernant les divulgations qui nous sont soumises, à condition que :

  • La partie signalante ne cause aucun préjudice à Keenfinity, à nos clients ou à d’autres.
  • La partie signalante ne compromet pas la confidentialité ou la sécurité de nos clients ni le fonctionnement de nos services.
  • La partie déclarante ne viole aucune loi pénale.
  • La partie déclarante ne divulgue publiquement les détails de la vulnérabilité qu'après que Keenfinity a confirmé la correction complète de la vulnérabilité.