Politique de signalement des vulnérabilités

Chez salesforce.com, la confiance est notre principale valeur et nous prenons à cœur la protection des données de nos clients.

L’équipe de sécurité de Salesforce reconnaît le rôle important que jouent les chercheurs indépendants dans le domaine de la sécurité Internet. Par conséquent, nous encourageons le signalement responsable de toute vulnérabilité identifiée sur notre site ou dans nos applications. Salesforce s’engage à travailler avec les chercheurs dans le domaine de la sécurité pour vérifier et régler toute vulnérabilité potentielle ayant été rapportée.

Veuillez réviser ces modalités avant d’effectuer des tests ou de rapporter une vulnérabilité. Salesforce s’engage à ne pas entamer des actions judiciaires contre les chercheurs qui tentent de pénétrer dans le système, qu’ils y arrivent ou non, tant qu’ils se conforment à cette politique.

Test visant à détecter des vulnérabilités affectant la sécurité :

Lorsqu’une version d’essai ou une version développeur est disponible, veuillez effectuer tous les tests visant à détecter les vulnérabilités sur ces versions. Utilisez toujours un compte de test ou démo lorsque vous testez nos services en ligne.

 

Signalement d’une vulnérabilité affectant potentiellement la sécurité :

  • Partagez ces détails en privé avec Salesforce en transmettant un courriel à security@salesforce.com
  • Fournissez tous les détails sur la vulnérabilité suspectée, pour que l’équipe de sécurité de Salesforce soit en mesure de valider et de reproduire le problème
 

Salesforce n’autorise pas les types suivants de test de sécurité :

Même si nous vous encourageons à rechercher les vulnérabilités et à nous communiquer toutes les vulnérabilités que vous découvrez de manière responsable, les comportements suivants sont formellement interdits :

  • Mener des actions pouvant avoir un impact négatif sur Salesforce ou sur ses utilisateurs (p. ex., envoi de pourriels, attaque de force brute, attaque par déni de service, etc.)
  • Accéder ou tenter d’accéder à des données ou des renseignements qui ne vous appartiennent pas
  • Détruire ou corrompre, ou tenter de détruire ou de corrompre des données ou des renseignements qui ne vous appartiennent pas
  • Effectuer toute attaque physique ou électronique sur le personnel, la propriété ou les centres de données de Salesforce
  • Utiliser des tactiques d’ingénierie sociale auprès des employés du guichet de service, des autres employés ou fournisseurs de Salesforce
  • Mener des tests de vulnérabilité sur les services participants à l’aide de comptes autres que les comptes de test (p. ex., des comptes d’une version d’essai ou d’une version développeur)
  • Enfreindre des lois ou contrevenir aux conventions afin de découvrir des vulnérabilités
 

L’engagement de l’équipe de sécurité de Salesforce :

Nous vous demandons de ne pas partager à des tiers ou rendre publique toute information sur une vulnérabilité non corrigée. Si vous soumettez un rapport de vulnérabilité de façon responsable, l’équipe de sécurité de Salesforce et les équipes de développement déploieront des efforts raisonnables afin de :

  • Répondre rapidement et accuser réception de votre rapport de vulnérabilité
  • Communiquer un délai approximatif pour la résolution du problème décrit dans le rapport de vulnérabilité
  • Vous avertir lorsque la vulnérabilité a été corrigée

Nous remercions à l’avance tous les chercheurs indépendants dans le domaine de la sécurité qui transmettront un rapport de vulnérabilité pour contribuer à améliorer la sécurité chez Salesforce.