Divulgation responsable

Nous apprécions les clients et les chercheurs en sécurité qui nous signalent les vulnérabilités de nos logiciels et de notre infrastructure.

Nous encourageons les clients et les chercheurs à tester la sécurité de notre produit et de notre infrastructure, à condition que cela soit fait de manière responsable. Si vous prévoyez de réaliser un tel test, veuillez contacter notre département de support et demander l’accord de collaboration que nous avons mis en place à cet effet. Il fournit des directives sur la façon de travailler avec nous, ce qui empêche par exemple notre équipe de sécurité d’interférer avec vos tests lorsqu’ils sont détectés par notre système de surveillance.

Communication des résultats

Si vous avez trouvé des problèmes (éventuels) de sécurité, nous apprécions vraiment que vous nous les signaliez. Nous nous efforçons de répondre à vos rapports par une évaluation, qui comprendra des étapes de correction si disponibles, dans un délai d’un jour ouvrable. Vous pouvez présenter vos résultats en utilisant l’une des méthodes suivantes :

Suivi

Nous traitons les incidents de sécurité en priorité. Lorsque cela est possible et nécessaire, des mesures immédiates d’atténuation des risques seront prises ou fournies.

Si une modification du produit est nécessaire pour remédier à une vulnérabilité, nous commençons à y travailler immédiatement et l’incorporons dans la prochaine version de notre produit.

Les clients qui ont sélectionné notre canal de livraison continue recevront automatiquement une mise à jour. La prochaine version On-Premises planifiée contiendra également le correctif. Étant donné que les clients On-Premises doivent télécharger, installer et tester la mise à niveau avant de la mettre en production, nous vous demandons d’attendre au moins 90 jours après le rapport initial si vous souhaitez publier vos résultats.

Dans nos efforts pour être un fournisseur responsable, nous soutenons les directives publiées par le centre national néerlandais de cybersécurité.