SharkNinja et ses sociétés affiliées (« SharkNinja ») s'engagent à protéger la confidentialité des renseignements personnels des consommateurs et des employés, ainsi que la disponibilité de leurs sites Web et de leurs systèmes d'information. La présente politique vise à fournir aux chercheurs en sécurité des directives claires pour mener leurs activités de recherche de vulnérabilités et à leur indiquer nos préférences quant à la manière de nous signaler les vulnérabilités découvertes afin que nous puissions les examiner. Nous vous encourageons à nous contacter pour signaler toute vulnérabilité de nos sites Web, systèmes et produits.
Si vous agissez de bonne foi et respectez cette politique lors de vos recherches en matière de sécurité, nous considérerons vos recherches comme autorisées et nous collaborerons avec vous pour comprendre et résoudre rapidement les problèmes signalés. SharkNinja ne recommandera ni n'engagera de poursuites judiciaires liées à vos recherches.
Veuillez noter que SharkNinja ne gère pas de programme de primes aux bogues (« bug bounty ») et n'offre aucune récompense ni compensation en échange de la soumission de problèmes de sécurité potentiels ou de vulnérabilités.
Directives
SharkNinja recommande les directives suivantes aux chercheurs susceptibles de signaler une vulnérabilité ou de mener des recherches légitimes. Dans le cadre de cette politique, le terme « recherche » désigne les activités suivantes :
- Nous informer dès que possible après avoir découvert un problème de sécurité réel ou potentiel
- Faire tout votre possible pour éviter les atteintes à la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation de données
- N’utiliser des exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité
- Ne pas utiliser d'exploit pour compromettre ou exfiltrer des données, établir un accès non autorisé persistant ou pivoter vers d'autres systèmes
- Nous accorder un délai raisonnable pour corriger le problème avant de le divulguer publiquement
Une fois que vous avez établi l'existence d'une vulnérabilité ou rencontré des données sensibles (y compris des renseignements personnels identifiables, des informations financières, des informations exclusives ou des secrets commerciaux de toute partie), vous devez arrêter vos tests, nous en informer immédiatement et ne divulguer ces données à personne d'autre.
Signaler une vulnérabilité
Veuillez envoyer un courriel à [email protected] pour signaler une vulnérabilité. Afin de nous aider à trier et à hiérarchiser les signalements, nous vous recommandons d'inclure les informations suivantes dans votre rapport :
- La date à laquelle la vulnérabilité ou le problème a été identifié
- Le système ou le produit concerné
- Les étapes nécessaires pour reproduire la vulnérabilité
- Toute suggestion ou idée de solution pour remédier à la vulnérabilité
Évaluation et traitement des vulnérabilités
Les collaborateurs de SharkNinja examineront et évalueront toutes les vulnérabilités signalées et s'engagent à accuser réception des soumissions dans un délai de 3 jours ouvrables.
À l'issue de l'évaluation, si la vulnérabilité est confirmée, nous prendrons les mesures correctives appropriées. Nous nous engageons à résoudre les vulnérabilités confirmées de manière rapide et responsable, en hiérarchisant les problèmes selon leur gravité et leur impact potentiel. Nous vous informerons lorsque la vulnérabilité sera résolue et vous serez invité à confirmer que la solution est adéquate.
Portée
Le champ d'application de ce programme comprend tous les sites Web SharkNinja détenus ou sous licence par la société, tous les systèmes commerciaux connectés à Internet, ainsi que les produits connectés à Internet et les applications mobiles associées.
Le programme n'inclut pas :
- Les campagnes d'ingénierie sociale ou d'hameçonnage visant les employés de SharkNinja
- Les attaques par déni de service (DoS) contre les sites Web ou les applications commerciales de SharkNinja
- Toute autre activité non autorisée à des fins malveillantes
Veuillez contacter SharkNinja à [email protected] pour toute question concernant ce programme ou pour signaler une vulnérabilité.