Notre engagement pour la cybersécurité
La sécurité de nos modules et de nos clients est primordiale. C'est pourquoi nous encourageons les chercheurs en sécurité à mener des analyses sur nos modules et à nous signaler toute vulnérabilité identifiée, dans le respect des bonnes pratiques de divulgation responsable.
Nous nous engageons à identifier et corriger toute vulnérabilité, et à communiquer de manière transparente avec les parties concernées tout au long du processus.
Signalement d'une vulnérabilité
Si vous pensez avoir découvert une vulnérabilité dans l'un de nos modules, vous pouvez nous la signaler de manière responsable via l'adresse : [email protected]
Nous vous invitons à nous fournir le plus de détails possibles :
- Description de la vulnérabilité
- Impact potentiel
- Version(s) concernée(s)
- Étapes de reproduction
Notre politique de gestion des vulnérabilités
Conformément à la Charte TouchWeb pour une cybersécurité responsable, notre équipe applique les principes suivants :
- Accusé de réception dans un délai de 7 jours pour les signalements pertinents (CVSS ≥ 6.0)
- Analyse d’impact et planification d'un correctif dans les 30 jours suivant la confirmation
- Publication transparente d'un avis de sécurité avec identifiant CVE dans un délai de 3 à 12 mois pour les
- vulnérabilités avec un score CVSS ≥ 7.5
- Aucune correction silencieuse : tous nos utilisateurs seront informés des mises à jour de sécurité
En parallèle, nous prenons les engagements suivants pour garantir une gestion responsable et éthique des vulnérabilités :
- Protection des chercheurs : nous ne poursuivrons jamais en justice les chercheurs en sécurité agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS.
- Transparence contractuelle : aucun accord de confidentialité ne pourra entraver la publication d'un avis de sécurité avec identifiant CVE.
Conformité réglementaire
Nous avons bien conscience que cette transparence est essentielle pour permettre aux tiers concernés (agences, marchands, etc.) de satisfaire à leurs obligations de conformité, notamment dans le cadre du standard PCI-DSS ou de l'une de ses versions allégées, comme la SAQ-A.
Autorisation de publication
Nous autorisons expressément la société TouchWeb SAS à publier les informations relatives aux vulnérabilités corrigées de nos modules sur son site officiel, conformément aux engagements de la Charte de cybersécurité responsable.
Cette publication comprend :
- Un identifiant CVE associé à la vulnérabilité.
- Une note de sécurité décrivant clairement le problème et sa résolution.
- Les versions concernées et la version corrigée.
- Un correctif facile à déployer lorsque la mise à jour n'est pas possible.
- Toute information utile permettant aux utilisateurs et agences de se protéger rapidement.
Publication des vulnérabilités
Vous trouverez ci-dessous la liste des vulnérabilités de sécurité connues et corrigées :
| Date | Module | Version impactée | Version corrigée | CWE | CVSS | CVE |
| En attente de première publication | - | - | - | - | - | - |
Cette politique de sécurité est un document vivant, régulièrement mis à jour pour refléter l'évolution de nos pratiques et des standards de l'industrie.
Dernière mise à jour : 26/06/2025
Pour toute question concernant cette politique ou nos pratiques de sécurité, n'hésitez pas à nous contacter via notre adresse dédiée : [email protected]
