Logo Vimar payoff positivoLogo Vimar positivo

Security Incident

Reporting Policy

Parce que c’est une préoccupation fondamentale pour nous et pour tous nos clients, chez Vimar tout est fait pour assurer la sécurité et la protection des produits et des services. Vimar encourage la divulgation coordonnée des vulnérabilités et les tests de vulnérabilité responsables : nous prenons au sérieux tous les signalements.

Suivez les étapes ci-dessous pour signaler une vulnérabilité de sécurité.

Reporting Procedure

  1. Veuillez utiliser notre clé publique PGP (download) pour crypter vos mails adressés à security-report-on-iot@vimar.com
  2. Donnez votre numéro de référence et des moyens de contact suffisants, par exemple:
    a. vos coordonnées ;
    b. le nom de la personne qui a découvert la vulnérabilité ;
    c. la date et les circonstances dans lesquelles la vulnérabilité a été découverte.
    d. utilisez la langue anglaise.
  3. Ajoutez une description technique du problème ou de la vulnérabilité. Donnez toutes les informations dont vous disposez sur le produit ou le service, notamment le numéro de version, la configuration ou les instruments utilisés. Si vous avez écrit une preuve de concept spécifique ou un code d’exploitation, donnez-nous-en une copie. Vérifiez que le code envoyé est clairement signalé comme tel et crypté avec notre clé PGP (download).
  4. Si vous avez identifié une menace spécifique relative à cette vulnérabilité et évalué le risque, donnez-nous ces informations.
DownloadDimensionDate
PGP public key1.97 K15/06/2021

Rapport d’évaluation et action

  1. Vimar : 
    a. confirme la réception du signalement dans les 14 jours ouvrables qui suivent ;
    b. donne un numéro de suivi univoque à votre signalement ;
    c.attribue une personne contact à chaque cas présenté ;
    d. avise les équipes techniques internes concernées.
  2. Vimar vous informe régulièrement de l’état du signalement.
  3. Si la vulnérabilité se trouve dans un composant ou un service de tiers inclus dans notre produit ou service, nous envoyons le signalement à ce tiers et nous vous informons de cette notification. À cette fin, veuillez nous indiquer dans votre mail si vous nous autorisez à transmettre vos coordonnées à ces tiers.
  4. Après avoir reçu un signalement de vulnérabilité, Vimar; a. vérifie la vulnérabilité signalée ;
    b. propose une solution ;
    c. exécute un test de contrôle de qualité et valide la solution ;
    d. remet un avis ;
    e. partage les informations avec les équipes du développement.
  5. Vimar utilise les processus existants de notification aux clients pour gérer l’envoi de patchs et de corrections de sécurité : ils peuvent comporter, à titre non exhaustif et à l’entière discrétion de Vimar, une notification directe au client ou une notification publique sur notre site Internet.
Rapporto Valutazione E Azione

Important

  1. L’utilisateur ne doit pas inclure d’informations personnelles ou sensibles dans les copies d’écran ou les pièces jointes qu’il envoie.
  2. N’exécuter aucun test de vulnérabilité sur les applications, produits ou services en cours d’utilisation. Les tests de vulnérabilité ne doivent être exécutés que sur les dispositifs, applications, produits ou services qui ne sont pas utilisés ou destinés à l’être.
  3. Testez la vulnérabilité des applications, produits ou services basés sur Internet dans un environnements demo/test.
  4. N’essayez pas de profiter de la vulnérabilité ou du problème que vous avez découvert pour, par exemple, télécharger plus de données que nécessaire, supprimer ou modifier d’autres données. Ne supprimez pas et n’utilisez pas les données d’autres personnes.
  5. Dans le cadre d’une coordination responsable de la divulgation des vulnérabilités, nous vous invitons à collaborer avec Vimar pour sélectionner les dates des notifications publiques.
  6. Dans le cadre de la recherche des vulnérabilités, les actions ne doivent pas être disproportionnées ou illimitées :a. utilisation d’une ingénierie sociale pour obtenir un accès ou des informations ;
    b. installation d’une porte dérobée dans une application, un produit ou un service pour démontrer sa vulnérabilité ;
    c. utilisation de la vulnérabilité dans un but autre que prouver son existence
    d. modification de l’installation, du produit ou du service ;
    e. accès répété à l’application, au produit ou au service ou partage de l’accès avec un tiers ;
    f. attaque par force brute de l’accès à l’application, au produit ou au service. Il ne s’agit pas réellement de vulnérabilité mais de tentatives répétées de saisie de mots de passe.
  7. Vimar accorde toute son attention aux chercheurs qui effectuent un signalement de vulnérabilité ou des tests et leur donne des patchs ou correctifs de sécurité publics si nécessaire.
Vimar Security Incident Policy Vimar

Avertissement

Quand vous partagez des informations avec Vimar dans le cadre d’une divulgation responsable, vous acceptez que ces informations soient considérées comme non privées et non réservées. Vimar est autorisée à utiliser les informations partagées, entièrement ou en partie, sans aucune restriction. Vous acceptez que l’envoi de ces informations ne crée pas de droit pour vous ni d’obligation pour Vimar. Les données personnelles sont traitées par Vimar conformément à la charte de confidentialité du produit et de l’appli du site .