SharkNinja et ses sociétés affiliées (« SharkNinja ») s'engagent à protéger la confidentialité des renseignements personnels des consommateurs et des employés, la disponibilité de ses sites Web et de ses systèmes d'information, ainsi que la sécurité de nos appareils connectés à Internet. Nous intégrons la sécurité à nos plateformes et à nos produits connectés et nous nous conformons aux exigences de sécurité applicables en matière d’IoT. La présente politique vise à fournir aux chercheurs en sécurité des directives claires pour mener des activités de détection de vulnérabilités et à leur faire part de nos préférences quant à la manière de nous soumettre les vulnérabilités découvertes pour examen. Nous vous encourageons à nous contacter pour signaler des vulnérabilités sur nos sites Web, nos systèmes et nos produits
Si vous faites un effort de bonne foi pour vous conformer à cette politique au cours de vos recherches en matière de sécurité, nous considérerons vos recherches comme autorisées uniquement dans la mesure où elles respectent toutes les conditions de cette politique et s'inscrivent dans le champ d'application défini ci-dessous, et nous travaillerons avec vous pour comprendre et résoudre rapidement les problèmes signalés. SharkNinja ne recommandera ni n'engagera de poursuites judiciaires liées à vos recherches, à condition que vous n'ayez pas outrepassé le champ d'application de la présente politique, agi de mauvaise foi ou enfreint une loi applicable
Veuillez noter que SharkNinja ne gère pas de programme de prime aux bogues et n'offre aucune récompense ni compensation en échange de la soumission de problèmes de sécurité potentiels ou de vulnérabilités.
Lignes directrices
SharkNinja propose les lignes directrices suivantes aux chercheurs susceptibles de signaler une vulnérabilité ou de mener des recherches légitimes. Dans le cadre de cette politique, le terme « recherche » désigne les activités dans lesquelles vous :
- Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel
- Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données
- N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité
- N'utilisez pas d'exploit pour compromettre ou exfiltrer des données, établir un accès non autorisé persistant ou utiliser l'exploit pour pivoter vers d'autres systèmes
- Nous accordez un délai raisonnable pour résoudre le problème avant de le divulguer publiquement
Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous avez rencontré des données sensibles (y compris des renseignements personnels, des renseignements financiers, des renseignements exclusifs ou des secrets commerciaux de toute partie), vous devez interrompre votre test, nous en informer immédiatement et ne divulguer ces données à personne d’autre. Vous devez supprimer définitivement ou détruire toutes ces données sensibles en votre possession dès que possible après avoir avisé SharkNinja, et certifier cette destruction sur demande. Vous acceptez de garder confidentiels tous les détails de toute vulnérabilité découverte jusqu’à ce que SharkNinja ait confirmé que la vulnérabilité a été corrigée ou ait autorisé la divulgation publique par écrit
Signaler une vulnérabilité
Veuillez envoyer un courriel [email protected] pour signaler une vulnérabilité. Afin de nous aider à trier et à hiérarchiser les soumissions, nous vous recommandons d’inclure les éléments suivants dans votre rapport :
- Date à laquelle la vulnérabilité ou le problème a été identifié
- Description du système ou du produit pour lequel la vulnérabilité a été découverte
- Description des étapes nécessaires pour reproduire la vulnérabilité
- Toute suggestion ou idée de correction pour remédier à la vulnérabilité
SharkNinja s'engage à accuser réception de toutes les soumissions dans un délai de 3 jours ouvrables et apprécie votre participation à ce programme.
Pour les divulgations de vulnérabilités liées aux produits connectés (ou « IoT »), SharkNinja fournira des mises à jour régulières jusqu'à ce que la vulnérabilité signalée soit résolue.
Portée
La portée de ce programme inclut tous les sites Web SharkNinja détenus ou sous licence par la société ; tous les systèmes d'entreprise connectés à Internet ; ainsi que les produits connectés à Internet et les applications mobiles associées. Le programme n'inclut pas :
- Les campagnes d'ingénierie sociale ou de phishing visant les employés de SharkNinja
- Les attaques par déni de service (DoS) contre les sites Web ou les applications d'entreprise de SharkNinja
- Toute autre activité non autorisée à des fins malveillantes
Veuillez contacter SharkNinja à l'adresse [email protected] pour toute question concernant ce programme ou pour signaler une vulnérabilité.