Politica di sicurezza per i nostri moduli Prestashop

Segnalazione di una vulnerabilità

La sicurezza dei nostri moduli e dei nostri clienti è fondamentale. Per questo motivo invitiamo i ricercatori sulla sicurezza a condurre analisi sui nostri moduli e a segnalarci eventuali vulnerabilità identificate, in conformità con le buone pratiche di divulgazione responsabile.

Ci impegniamo a identificare e porre rimedio a qualsiasi vulnerabilità e a comunicare in modo trasparente con le parti interessate durante tutto il processo.

Se ritieni di aver scoperto una vulnerabilità in uno dei nostri moduli, puoi segnalarcelo responsabilmente tramite l’indirizzo:

s e c u r i t y  a t  2n – t e c h . c o m

Vi invitiamo a fornirci quanti più dettagli possibili (descrizione, impatto, versione interessata, fasi di riproduzione).

La nostra politica di gestione delle vulnerabilità

In conformità con la Carta TouchWeb per una sicurezza informatica responsabile, il nostro team applica i seguenti principi:

Conferma di ricezione di qualsiasi rapporto pertinente entro un massimo di 7 giorni (CVSS ≥ 4.0)
Analisi dell’impatto e pianificazione di un’azione correttiva entro un massimo di 30 giorni.
Pubblicare un avviso di sicurezza con CVE se il punteggio CVSS è ≥ 7,5.
Nessuna correzione verrà pubblicata silenziosamente.

Allo stesso tempo, ci impegniamo a garantire una gestione responsabile ed etica delle vulnerabilità:

Non perseguire penalmente i ricercatori che agiscono in buona fede, in particolare nell’ambito del programma YesWeHack gestito da TouchWeb SAS.
Garantire che nessun accordo di riservatezza, incluso il white label, possa ostacolare la pubblicazione trasparente di un avviso di sicurezza con identificativo CVE, conforme allo stato dell’arte.

Siamo ben consapevoli che questa trasparenza è essenziale per consentire ai terzi interessati (agenzie, commercianti, ecc.) di rispettare i propri obblighi di conformità, in particolare nell’ambito dello standard PCI-DSS o di una delle sue versioni più leggere, come il SAQ-A.

Autorizzazione alla pubblicazione

Autorizziamo espressamente TouchWeb SAS a pubblicare sul suo sito web ufficiale informazioni relative alle vulnerabilità corrette dei nostri moduli, in conformità con gli impegni della Carta per una Cybersecurity Responsabile.

Questa pubblicazione include:

  • Un identificatore CVE associato alla vulnerabilità.
  • Una nota di sicurezza che descrive chiaramente il problema e la sua risoluzione.
  • Le versioni interessate e la versione corretta.
  • Una soluzione semplice da implementare quando non è possibile effettuare l’aggiornamento.
  • Qualsiasi informazione utile che consenta agli utenti e alle agenzie di proteggersi rapidamente.

    Pubblicazione

    Di seguito è riportato un elenco delle vulnerabilità di sicurezza note e risolte:

    Data Modulo Versione interessata Versione corretta CWE CVSS CVE
    Nessuna CVE fino ad oggi

     

      Contattaci

      +39 06 21 11 50 30

      Piazza dell’emporio 11/A
      00153 Roma

      Un progetto ?

      Siamo a vostra disposizione per discuterne

      Lasciaci un messaggio