Politique de divulgation des vulnérabilités

Nous considérons la sécurité comme l'élément vital de nos produits et prenons très au sérieux la confidentialité des utilisateurs et la protection des données. Que vous soyez utilisateur de produits de sécurité TerraMow, développeur tiers ou chercheur indépendant en sécurité, vos découvertes sont essentielles pour améliorer nos produits et protéger les utilisateurs. Nous accueillons et apprécions votre collaboration à la divulgation des problèmes de sécurité.

1. Qui peut signaler

Toute personne qui découvre un problème de sécurité potentiel dans les produits ou services TerraMow.

2. Comment signaler

Si vous découvrez une vulnérabilité de sécurité dans un produit TerraMow ou êtes confronté à un incident de sécurité, veuillez envoyer les informations pertinentes à support@terramow.com.

3. Ce qu'il est recommandé d'inclure dans votre signalement

Produit/firmware/logiciel affecté et modèle de l'appareil

Étapes détaillées, méthode de reproduction et informations sur l'environnement

Évaluation de l'impact et du risque (si disponible)

Optionnel : PoC (preuve de concept), journaux, captures d'écran ou enregistrements d'écran

Si vous préférez rester anonyme ou être crédité lors d'une divulgation publique.

4. Comment nous traitons les signalements (conforme à ISO/IEC 30111 et CVSS 3.1)

4.1 Accusé de réception : Nous confirmerons la réception sous 1 jour ouvrable et réaliserons une première évaluation.

4.2 Demande de précisions : Si nécessaire, nous vous contacterons pour obtenir des informations confidentielles supplémentaires afin d'aider à reproduire et vérifier le problème.

4.3 Vérification et évaluation : Nous reproduirons, vérifierons et noterons la vulnérabilité en utilisant CVSS 3.1.

4.4 Correction et validation : Pour les problèmes confirmés, nous développerons et mettrons en œuvre des correctifs ou des atténuations et vérifierons les correctifs sur les gammes de produits concernées.

4.5 Diffusion des mises à jour : Nous fournirons des mises à jour ou des correctifs aux appareils affectés via des canaux officiels tels que OTA(par liaison sans fil).

4.6 Surveillance et suivi : Après la publication, nous surveillerons la stabilité et l'efficacité des mesures de sécurité et continuerons d'optimiser si nécessaire.

5. Délais cibles

-Accusé de réception du signalement : sous 1 jour ouvrable.

-Évaluation initiale : sous 3 jours ouvrables, avec un plan de réponse préliminaire

Délais cibles pour la correction :

-Critique : correction sous 3 jours ouvrables

-Élevé/Moyen : correction sous 30 jours ouvrables ou mise en place d'atténuations exploitables

-Faible : correction sous 180 jours ouvrables ou prise de mesures appropriées.

Remarque : Certains problèmes peuvent être limités par le matériel, l'environnement de déploiement ou des dépendances tierces. Les délais finaux seront déterminés par les conditions réelles. Nous vous tiendrons informé tout au long du processus.

6. Confidentialité et divulgation coordonnée

Nous protégerons les informations du rapporteur et les détails de la vulnérabilité contre toute divulgation publique tant que les correctifs ne sont pas en place et que la coordination n'est pas achevée.

Nous encourageons la coordination sur le calendrier de divulgation publique. Si vous le souhaitez, nous pouvons vous créditer dans la divulgation (ou vous garder anonyme sur demande).

7. Remarques supplémentaires

Nous encourageons la divulgation responsable : veuillez éviter de publier des détails avant de coordonner avec nous afin de prévenir les risques pour les utilisateurs.

Nous apprécions les contributions professionnelles des personnes et des équipes qui nous aident à améliorer la sécurité. Les récompenses ou options de collaboration peuvent être discutées lors d'échanges ultérieurs.

Merci d'aider TerraMow à protéger la sécurité des utilisateurs. Nous prenons chaque signalement au sérieux — vos découvertes et votre soutien alimentent notre amélioration continue.