Accessibility Statement
Black Friday en avant-première | Jusqu'à 50 % de réduction sur les serrures et solutions de rangement intelligentes Économisez maintenant
LIVRAISON TERRESTRE GRATUITE POUR LES COMMANDES DE PLUS DE 50 $
Yale August

Politiques et accords juridiques de Yale

Avis de confidentialité Politique relative aux cookies Avis juridique Conditions d'utilisation Centre de sécurité Termes et conditions Garantie Ne vendez pas mes informations

Centre de sécurité

Politique de divulgation

Politique de divulgation responsable

Yale estime que la divulgation des vulnérabilités est essentielle à l'amélioration de la qualité de ses produits et services. Yale valorise les contributions de la communauté de recherche en sécurité et encourage la divulgation et la collaboration.

Dans le cadre de notre processus de divulgation responsable, Yale collabore avec des chercheurs en sécurité et d'autres analystes de vulnérabilités afin de renforcer la sécurité de ses produits et services. Ce processus offre un mécanisme permettant de signaler les vulnérabilités de manière confidentielle, légitime et intègre. La divulgation responsable garantit que l'infrastructure de sécurité est testée et éprouvée. Elle nous permet également de travailler en étroite collaboration avec les chercheurs pour identifier et corriger rapidement les vulnérabilités dans un environnement de sécurité en constante évolution.

Voici la politique de divulgation responsable de Yale :

  • Yale communiquera à ses clients les vulnérabilités connues et leurs correctifs de manière à protéger les utilisateurs finaux de ses produits. Les communications de Yale mentionneront la personne ayant identifié la vulnérabilité en premier, sauf demande contraire de sa part.
  • Yale est ouverte à la communication et à la collaboration avec les chercheurs en sécurité qui viennent à Yale avec un intérêt commun pour l'amélioration de la sécurité et la coordination de la diffusion de l'information, y compris la vulnérabilité et la solution qui y remédie.
  • Yale ne propose ni programme de primes ni récompense financière au chercheur, mais reconnaîtra publiquement, dans un avis écrit, le travail d'un chercheur en sécurité qui fournit à l'entreprise, à titre privé, des informations valides sur une vulnérabilité, puis collabore avec Yale pour coordonner l'annonce publique après le développement et le test d'un correctif.
  • Les chercheurs en sécurité sont autorisés à publier un lien vers l'avis de Yale sur leurs propres sites web en reconnaissance de leur contribution à la minimisation des risques et à la protection des utilisateurs finaux.

Nous demandons à la communauté des chercheurs en sécurité de collaborer avec Yale afin de coordonner la divulgation publique d'une vulnérabilité. La révélation prématurée d'une vulnérabilité sans en informer préalablement Yale pourrait nuire aux utilisateurs finaux, exposer des informations sensibles et mettre en danger les personnes et les organisations face à des attaques malveillantes.

À cette fin, Yale préconise fortement une procédure en deux étapes : premièrement, la divulgation confidentielle d’une vulnérabilité potentielle à Yale. Une fois la vulnérabilité validée et corrigée, Yale coordonne la divulgation publique , qui comprend la reconnaissance de la découverte du chercheur en sécurité, confirmant ainsi que le mérite lui est attribué.

Nous demandons aux chercheurs de bien vouloir prendre en compte que nos actions d'investigation, de validation et de correction des vulnérabilités signalées varient en fonction de leur complexité et de leur gravité. Nous communiquerons les échéanciers prévus, les modifications apportées et collaborerons dans la mesure du possible. De plus, nous demandons aux chercheurs de ne pas utiliser d'outils de déni de service ni de compromettre l'infrastructure ou les informations personnelles des utilisateurs de Yale lors de leurs tests ou évaluations. Si ce type de test s'avère nécessaire, nous les prions de nous contacter afin que nous puissions, dans la mesure du possible, leur fournir des produits testables dans un environnement hors production.

À l'instar d'autres entreprises de premier plan, Yale applique les meilleures pratiques du secteur en matière de divulgation coordonnée des vulnérabilités afin de protéger l'écosystème de sécurité, garantissant ainsi aux clients des informations de la plus haute qualité et stimulant le débat public sur les moyens d'améliorer les produits, les protocoles, les méthodologies, les normes et les solutions.

Dans le cadre de son programme de divulgation responsable , Yale souhaite collaborer avec des chercheurs en sécurité qui adoptent une approche coordonnée et partagée en matière de divulgation publique des vulnérabilités. Yale invite les chercheurs en sécurité et autres enquêteurs spécialisés dans les vulnérabilités à se joindre à cette initiative.

APPEL À L'ACTION

Si vous pensez avoir découvert une vulnérabilité, veuillez consulter les directives de signalement des problèmes de sécurité ci-dessous dans le Centre de ressources de sécurité de Yale pour obtenir des instructions sur la manière de soumettre vos conclusions à l' équipe de réponse de sécurité de Yale , ou vous pouvez nous contacter directement à support@yalelocks.com .

Centre de ressources de sécurité de Yale

Lignes directrices pour la rédaction de rapports

Lignes directrices pour le signalement des problèmes de sécurité

Étapes pour signaler une vulnérabilité.

Veuillez signaler toute faille de sécurité potentielle ou avérée à l'équipe de sécurité de Yale par courriel à l' adresse security@august.com . Veuillez chiffrer votre courriel avec PGP et cette clé publique .

Veuillez inclure les informations ci-dessous dans votre rapport par courriel :

  • Prénom et nom de famille
  • Nom de l'entreprise
  • Numéro de téléphone de contact (facultatif)
  • Adresse électronique préférée pour le contact
  • Description générale de la vulnérabilité
  • Le produit présentant une vulnérabilité (versions matérielles et logicielles), références
  • Outils, matériels et autres configurations nécessaires pour déclencher l'événement
  • Toutes les mises à jour de sécurité ou de correctifs ont été appliquées.
  • Instructions du document pour reproduire l'événement
  • Exemple de code, preuve de concept ou exécutable utilisé pour produire l'événement
  • Définition de l'impact de la vulnérabilité sur un utilisateur, y compris la manière dont un attaquant pourrait compromettre la sécurité du site.
  • Produit concerné
  • Détails du système
  • Description technique et étapes de reproduction
  • Preuve de concept (fournir le lien)
  • Autres parties et produits impliqués
  • Plans de divulgation/Dates/conducteurs
  • Quel était l’objectif et la portée de la recherche menée au moment de sa découverte (contexte) ?

Il semble que vous naviguiez depuis l'extérieur des États-Unis ou du Canada.

La couverture mondiale de Yale inclut la zone EMEIA, le Mexique, l'Australie, l'Asie, l'Amérique centrale et l'Amérique du Sud.

Visitez le site de Yale Global Je souhaite rester sur ce site