Politique de divulgation des vulnérabilités

 

MY01 Inc. encourage une maintenance proactive et réactive de la sécurité de ses produits. MY01 Inc. reconnaît la valeur que les rapports de sécurité externes peuvent apporter à la sécurité de ses produits. Nous encourageons les rapporteurs à nous informer rapidement des failles de sécurité. L'équipe de MY01 Inc. examinera le rapport de vulnérabilité et réagira en fonction des résultats de l'enquête. Cette politique décrit le processus de divulgation des vulnérabilités pour signaler les incidents de sécurité à l'équipe de réponse à la sécurité de MY01 Inc.

Les personnes ou les organisations qui ont connaissance d'un problème de sécurité sont vivement encouragées à signaler l'incident à l'adresse électronique suivante : security@my01.io. Veuillez inclure les champs suivants dans votre courriel :

  • Nom complet de l'individu/nom de l'organisation : Prénom et nom de famille du déclarant s'il s'agit d'un individu. Le nom de l'organisation pour les rapports des fournisseurs de composants, des organismes de réglementation et d'autres formes d'organisations, y compris la personne de contact.
  • Description de la vulnérabilité : Fournir une brève description de la vulnérabilité et des menaces éventuelles liées à son exploitation.
  • Identifiant du produit : le nom du produit, le numéro de série, les informations relatives au lot et à la version du ou des produits concernés doivent être indiqués.
  • Indiquer si des incidents ont été signalés : Indiquer, le cas échéant, si des incidents ayant entraîné un préjudice se sont produits au cours de l'exploitation de la vulnérabilité.
  • Score CVSS v3.1 (facultatif) : si possible, utiliser l'outil CVSS 3.1 pour évaluer l'exploitabilité de la vulnérabilité.
  • Informations de contact : veuillez fournir d'autres informations de contact telles qu'un numéro de téléphone portable ou une autre adresse électronique.

Un accusé de réception des rapports sera envoyé dans les 7 jours ouvrables. L'état d'avancement des questions signalées sera déterminé en fonction des besoins.

L'équipe de MY01 Inc. dispose d'un délai de soixante jours à compter de la date d'accusé de réception d'une vulnérabilité légitime pour répondre et produire un correctif ou une solution de contournement à l'intention de ses clients.