Security Policy

Politique de divulgation des vulnérabilités de 70mai

770mai s’attache à développer des produits et services conformes aux normes de sécurité les plus élevées afin de protéger nos clients et leurs données. Nous invitons les chercheurs et les universitaires du domaine de la sécurité, ainsi que d’autres membres de l’ensemble de la communauté de la sécurité à nous communiquer les informations concernant les vulnérabilités de sécurité potentielles.

L’équipe de sécurité de 70mai est prête à travailler avec ceux qui portent ces vulnérabilités à son attention et s’efforce d’accuser réception de toutes les soumissions pertinentes.

Quand contacter l’équipe de réponse aux incidents de sécurité relatifs aux produits

Les chercheurs et les utilisateurs peuvent signaler les vulnérabilités de sécurité et les bugs à 70mai via l’adresse https://www.70mai.com/contact-us/ ou écrire à security@70mai.com.

Plan de réponse aux incidents

Le plan de réponse aux incidents de sécurité se présente comme suit :

1. L’équipe du service client dédiée surveille quotidiennement les informations reçues dans la rubrique Nous contacter du site Web et informe l’équipe de sécurité de 70mai en cas de publication relative à la sécurité. Par ailleurs, l’équipe de sécurité surveille l’adresse security@70mai.com chaque jour.

2. L’équipe de sécurité détermine le niveau de gravité de l’incident et en informe le gestionnaire du programme.

3. En ce qui concerne la notation des vulnérabilités, 70mai suit les bonnes pratiques du secteur pour spécifier l’impact potentiel des vulnérabilités comme étant Élevé, Moyen ou Faible.

4. Les étapes suivantes seront entreprises en fonction du niveau de gravité de l’incident :
a) Élevé : le gestionnaire du programme tient une réunion avec le DIRECTEUR de l’ingénierie, l’équipe de sécurité et les ingénieurs concernés. Un plan fixe doit être élaboré lors de la réunion. Les mesures correctives dans le cloud doivent immédiatement être mises en œuvre. L’application et le micrologiciel doivent être corrigés le plus tôt possible et une mise à jour OTA transmise aux utilisateurs dans les délais indiqués dans le tableau ci-dessus.
b) Moyen : le gestionnaire du programme tient une réunion avec l’équipe de sécurité et les ingénieurs concernés. Un plan fixe doit être élaboré lors de la réunion. Et les mesures de correction/la mise à jour OTA seront effectuées dans les délais indiqués dans le tableau ci-dessus.
c) Faible : le gestionnaire du programme discute avec l’équipe de sécurité et les ingénieurs concernés et élabore un plan fixe. Les mesures de correction/la mise à jour OTA seront effectuées dans les délais indiqués dans le tableau ci-dessus. L’équipe de sécurité enverra un message à l’adresse avs-security@amazon.com au sujet de tous les incidents ci-dessus dans les 24 heures, en y joignant un rapport initial comportant la description et le niveau de gravité des incidents. Un autre rapport, présentant le plan de résolution du problème et le calendrier de publication/mise à jour OTA correspondant, sera envoyé à l’adresse avs-security@amazon.com le plus tôt possible.

Réception des informations de sécurité de 70mai

Avis de sécurité

Le plus souvent, nous publierons un avis lorsque nous avons identifié une solution ou une mesure de correction pratique relative à la vulnérabilité de sécurité en question. Cependant, il peut arriver que nous publiions un avis en l’absence d’une solution lorsque la vulnérabilité est devenue largement connue au sein de la communauté de la sécurité.

Notes de versions (readme ou historique des modifications)

Les informations incluses dans les notes de versions relatives aux mises à jour de sécurité mentionneront le CVE ou le numéro de suivi interne. Ces deux données sont incluses dans les avis de sécurité que nous publions, le cas échéant. Lorsque 70mai pense qu’il est dans l’intérêt des clients d’effectuer une mise à jour le plus tôt possible, les mesures correctives doivent être publiées en amont de l’avis de sécurité. Une fois l’avis publié, les informations concernant la vulnérabilité peuvent être trouvées en référençant le numéro de suivi figurant dans les notes de versions.

Les informations mentionnées dans les notes de versions relatives aux mesures de correction des vulnérabilités open source incluront les CVE publiés.

70mai ne publie pas les avis de sécurité relatifs aux vulnérabilités open source.

Références

Si des informations supplémentaires à propos de la vulnérabilité sont disponibles, l’avis comportera des liens en guise de référence. Il s’agit notamment de liens vers des citations du CVE, d’un blog ou d’un article.

Accusé de réception

En règle générale, nous veillons à répondre au chercheur ou à la personne ayant détecté la vulnérabilité et, avec sa permission, à lui accorder un crédit.

Historique des révisions

Lorsque des mises à jour sont effectuées par rapport à un avis, l’historique des révisions montre les mises à jour apportées et la date où celles-ci ont eu lieu.

Nous faisons de notre mieux pour résoudre le plus rapidement possible les vulnérabilités concernant les produits pris en charge. Cependant, aucun niveau de réponse garanti ne s’applique à un problème ou une classe de problèmes spécifique, en raison de facteurs comme la complexité des mesures correctives, les tests de qualité, les embargos et la coordination entre les vendeurs.

Des produits +

Dash Cams

Accessoires

Stations Electriques Portable

Service +

Télécharger l’application

Enregistrement de la garantie

À propos de 70mai+
À propos de nous
Nous contacter

Restez informé

Inscrivez-vous pour recevoir les lettres d’information et les offres promotionnelles de 70mai.

By signing up, you agree to 70mai's Privacy Policy .

Subscribe to our newsletter:

Veuillez saisir une adresse e-mail valide

NaN