Sauter la navigation

Politique de divulgation des vulnérabilités de Master Lock

Master Lock s’engage à protéger la sécurité de ses clients et s’efforce de fournir à ses utilisateurs un produit et un service sécurisés et stables, et de protéger la confidentialité et la sécurité des données des clients.

Cette politique de divulgation des vulnérabilités s’applique à toutes les vulnérabilités que vous envisagez de nous (l'« Organisation ») signaler .

Nous vous recommandons de lire attentivement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et d’agir toujours en conséquence.

Nous apprécions ceux qui prennent le temps et font l’effort de signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n’offrons pas de récompenses monétaires pour les divulgations de vulnérabilités.

 

Signalement 

Si vous pensez avoir trouvé une faille de sécurité, veuillez soumettre votre rapport à l’adresse courriel suivante productsecurity@mlock.com.

Dans votre rapport, veuillez inclure des renseignements sur les éléments suivants, dans la mesure du possible :

  • L’application, le site Web, l’adresse IP ou l’appareil où la vulnérabilité peut être observée, le cas échéant.
  • Une brève description de la vulnérabilité, par exemple « vulnérabilité XSS ».
  • Cause profonde potentielle.
  • Étapes à reproduire. Il doit s’agir d’une preuve de concept bénigne et non destructive. Cela permet de s’assurer que le rapport peut être trié rapidement et avec précision.

 

À quoi s’attendre 

Une fois que vous aurez soumis votre rapport, nous accuserons réception de votre rapport dans les 5 jours ouvrables et nous nous efforcerons de trier votre rapport dans les 10 jours ouvrables.

Nous nous efforcerons également de vous tenir au courant de nos progrès ou de vous demander des informations supplémentaires le cas échéant.

Les priorités en matière de correction sont évaluées en fonction de l’impact, de la gravité et de la complexité de l’exploitation. Le tri ou la correction des rapports de vulnérabilité peut prendre un certain temps. Vous êtes invités à vous renseigner sur l’état, mais vous devez éviter de le faire plus d’une fois tous les 14 jours.

Nous vous informerons une fois que la vulnérabilité aura été corrigée, et vous serez peut-être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois la vulnérabilité résolue, nous fournirons au signalant la vulnérabilité une mise à jour de statut pour fermer le cas.

 

Directives 

Vous ne devez PAS :

  • Violer toute loi ou réglementation applicable.
  • Accéder à des quantités de données inutiles, excessives ou importantes.
  • Modifier les données dans les systèmes ou les services de l’Organisation.
  • Utiliser des outils d’analyse invasifs ou destructeurs de haute intensité pour trouver les vulnérabilités.
  • Tenter de signaler toute forme de refus de service, par exemple submerger un service avec un volume élevé de demandes.
  • Perturber les services ou les systèmes de l’Organisation.
  • Soumettre des rapports détaillant des vulnérabilités non exploitables, ou des rapports indiquant que les services ne s’alignent pas entièrement sur les « meilleures pratiques », par exemple des en-têtes de sécurité manquants.
  • Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple la prise en charge de la suite de chiffrement « faible » ou la présence de la prise en charge de TLS1.0.
  • Pirater psychologiquement, « hameçonner » ou attaquer physiquement le personnel ou l’infrastructure de l’Organisation.
  • Exiger une compensation financière pour divulguer les vulnérabilités. 
  • Discuter ou divulguer des vulnérabilités à des tiers sans l’autorisation expresse de l’Organisation.

 

Vous devez

  • Toujours respecter les règles de protection des données et ne pas violer la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de l’Organisation. Vous ne devez pas, par exemple, partager, redistribuer ou omettre de sécuriser correctement les données récupérées des systèmes ou des services.
  • Supprimer en toute sécurité toutes les données récupérées au cours de vos recherches dès qu’elles ne sont plus nécessaires ou dans un délai d’un mois à compter de la résolution de la vulnérabilité, selon la première éventualité (ou comme l’exige la loi sur la protection des données).

 

Légalités 

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Elle ne vous donne pas la permission d’agir d’une manière qui est incompatible avec la loi, ou qui pourrait amener l’Organisation ou les organisations partenaires à manquer à leurs obligations légales.

Trouver une serrure
    Support produit
    Vidéos produits
    Support Vault
    Master Lock
    © 2025 Master Lock Company LLC. | Politique de confidentialité | Réglages de confidentialité | Mentions légales | Politique en matière de divulgation des vulnérabilités | À propos de nos publicités | Code de conduite des fournisseurs | Plan du site