Politique de divulgation responsable
Digi International Inc. s'efforce d'assurer à ses clients la confiance dans la sécurité de ses produits et services. Si vous avez découvert une faille de sécurité sur Digi.com ou sur tout produit ou service de marque Digi, nous vous demandons de nous la communiquer conformément à cette norme de divulgation responsable.
Pour offrir un mécanisme sûr et sécurisé à notre clientèle et à nos chercheurs, nous nous associons à Bugcrowd Inc. ("Bugcrowd") et tirons parti de sa plate-forme de programme de divulgation des vulnérabilités. Après validation d'une soumission, Digi corrige les vulnérabilités conformément à nos normes de gestion des risques pour un engagement continu en faveur de la confidentialité, de l'intégrité et de la disponibilité de notre infrastructure et de nos produits.
Pour signaler une vulnérabilité présumée, veuillez soumettre des informations détaillées en utilisant le formulaire au bas de cette page. Veuillez consulter la section sur les données du rapport de soumission de vulnérabilité pour obtenir des suggestions sur les informations à fournir.
Décorum de sécurité
Vous trouverez ci-dessous un aperçu du comportement attendu, de l'étiquette et des principes régissant les interactions dans le contexte des activités liées à la sécurité pour participer à notre programme de divulgation des vulnérabilités.
- Toujours respecter les règles de protection des données et ne pas porter atteinte à la vie privée de nos utilisateurs, de notre personnel, de nos sous-traitants, de nos services ou de nos systèmes.
- Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données extraites des systèmes ou des services.
- Vous ne devez pas accéder, télécharger ou modifier des données qui ne vous appartiennent pas.
- Ne pas divulguer au public ou à une tierce partie toute vulnérabilité identifiée ou présumée abordée dans votre soumission sans l'autorisation écrite expresse de Digi.
Supprimer en toute sécurité toutes les données récupérées au cours de votre recherche dès qu'elles ne sont plus nécessaires ou dans un délai d'un mois à compter de la résolution de la vulnérabilité, selon ce qui se produit en premier (ou selon ce qui est exigé par la loi sur la protection des données).
Cycle de vie de la communication de la demande
L'équipe de sécurité de Digi s'engage à coordonner avec le chercheur de la manière la plus transparente et la plus rapide possible. Le cycle de vie de la soumission comprend les éléments suivants :
- Le chercheur ou le client soumet le formulaire conformément à notre norme et à notre programme de divulgation des vulnérabilités.
- Toute communication avec Digi au sujet de la vulnérabilité soumise se fera par l'intermédiaire de l'email fourni dans la soumission à la plateforme de divulgation des vulnérabilités de Bugcrowd. (Note : Pour communiquer avec Digi et l'équipe de sécurité de Bugcrowd, vous devez réclamer la soumission par le biais d'un courriel de validation envoyé à votre courriel par Bugcrowd).
- L'équipe de sécurité de Digi responsable de la coordination des vulnérabilités accusera réception des vulnérabilités potentielles dans les quatre jours suivant leur soumission.
- L'équipe de sécurité de Digi est désignée sous le nom de Digi_Sec_(nom du membre du personnel de Digi) dans la chaîne de communication et informera en permanence l'auteur de la demande tout au long du cycle de vie de la vulnérabilité.
- Bugcrowd et l'équipe de sécurité de Digi évalueront la vulnérabilité sur la base de notre système de classification des risques.
- Après avoir déterminé la validité de la vulnérabilité, celle-ci sera triée selon le processus de gestion du cycle de vie de l'équipe produit. Les résultats peuvent nécessiter une action via les politiques de correctifs de Digi situées ici : https://www.digi.com/resources/security/security-policies
Types de soumissions incluses
- Vulnérabilités de la logique d'entreprise
- OWASP Top 10
- Divulgation d'informations
- Exposition des données
- Problèmes d'autorisation/authentification
- Tout ce qui ne figure pas dans la liste ci-dessus et qui pourrait avoir ou a actuellement un impact sur la confidentialité, l'intégrité ou la disponibilité des systèmes, des services ou des biens de Digi peut être soumis.
Données du rapport de soumission de vulnérabilité
Les informations suivantes aideraient l'équipe de sécurité de Digi et de Bugcrowd à valider et à trier la vulnérabilité.
- Nom du produit ou du service, URL ou version du micrologiciel concerné
- Système d'exploitation des composants concernés
- Informations sur la version
- Description technique aussi détaillée que possible des actions effectuées et de leur résultat
- Exemple de code utilisé pour tester ou démontrer la vulnérabilité
- Coordonnées du journaliste
- Autres parties concernées, le cas échéant
- Plans de divulgation
- Évaluation des menaces/risques détails des menaces identifiées et/ou du niveau de risque (P1(critique)P2(grave) P3(modéré)P4(faible)P5(informatif))
- Configuration logicielle de l'ordinateur ou configuration du dispositif au moment de la découverte de la vulnérabilité
- Informations pertinentes sur les composants connectés et sur le moment où la vulnérabilité se produit (par exemple, un composant ou un dispositif secondaire déclenche la vulnérabilité).
- Date et heure de la découverte
- Informations sur le navigateur, y compris le type et la version, le cas échéant
Système de classification des risques
Pour la hiérarchisation/classification initiale des résultats, ce programme utilisera la taxonomie d'évaluation des vulnérabilités de Bugcrowd. Toutefois, dans certains cas, la priorité d'une vulnérabilité sera modifiée en raison de sa probabilité ou de son impact. Dans tous les cas où un problème est déclassé, une explication complète et détaillée sera fournie au chercheur, ainsi que la possibilité de faire appel et de plaider en faveur d'une priorité plus élevée. Avant de soumettre des informations sur l'évaluation des risques, veuillez tenir compte de la répartition des degrés de gravité que nous suivons avec la plateforme de Bugcrowd :
- P1 Critique: Le problème identifié dans la soumission a la plus haute priorité et devrait être assigné aux principaux bloqueurs. En règle générale, les soumissions de priorité P1 classées comme bloqueurs majeurs rendent l'application inutilisable, risquent de perturber les activités de l'entreprise et nécessitent une attention immédiate.
- P2 Grave: Ce problème identifié dans la soumission n'est pas critique mais a un impact significatif sur la demande.
- P3 Modéré: La soumission ne présente pas de problème critique ou grave, mais révèle une faille dans l'application qui doit être corrigée.
- P4 Faible: Cette soumission est la priorité la plus faible et représente un problème mineur.
- P5 Information: Cette soumission peut fournir des informations suspectes, mais ne permet pas de conclure qu'elle présente un risque.
Actions interdites
Les actions suivantes sont interdites en vertu de la présente norme. Digi International se réserve tous les droits légaux si vous vous engagez dans l'une de ces activités interdites.
- Déni de service (DoS) et déni de service distribué (DDoS)
- En cas de découverte d'une vulnérabilité susceptible de permettre une attaque de type DoS ou DDoS, veuillez communiquer les informations découvertes, mais ne pas effectuer l'attaque.
- Les tests DoS contre des produits Digi International appartenant uniquement au chercheur ou au client sont acceptables s'ils se déroulent sur un réseau appartenant à un chercheur ou à un client et exploité par lui.
- Rapports de spam ou sollicitation
- Rapports de phishing, vishing, spear phishing
- Rapports d'ingénierie sociale
- Ports ouverts sans démonstration ou preuve de concept de la vulnérabilité.
- Résultats générés par des outils automatisés sans explication détaillée sur les parties vulnérables et la manière dont la vulnérabilité peut être exploitée.