Politique de signalement des vulnérabilités

 

Chez Salesforce, rien n'est plus important que la confiance, et la protection des données de nos clients est essentielle.

L'équipe de sécurité de Salesforce reconnaît le rôle extrêmement important des chercheurs en sécurité indépendants en matière de sécurité Internet. Par conséquent, nous encourageons le signalement responsable de toutes les vulnérabilités qui peuvent être détectées sur notre site ou dans nos applications. Salesforce est déterminée à collaborer avec les chercheurs en sécurité afin d'examiner et de corriger toutes les vulnérabilités potentielles qui nous sont signalées.

Avant de tester et/ou de signaler une vulnérabilité, nous vous invitons à prendre connaissance des conditions ci-après. Salesforce s'engage à ne jamais intenter d'action en justice contre les chercheurs qui pénètrent ou tentent de pénétrer dans nos systèmes, à condition qu'ils adhèrent à notre politique.

Tests de vulnérabilité de la sécurité :

Dès qu'une édition Trial Edition ou Developer Edition est disponible, effectuez tous les tests de vulnérabilité dans les instances correspondantes. Utilisez toujours des comptes test ou de démonstration pour tester nos services en ligne.

 

Signalement d'une vulnérabilité potentielle :

  • Partagez de façon confidentielle avec Salesforce les détails de la vulnérabilité détectée en envoyant un e-mail à l'adresse security@salesforce.com.
  • Fournissez tous les détails relatifs à la vulnérabilité potentielle pour permettre à l'équipe de sécurité de Salesforce de valider et de reproduire le problème.
 

Salesforce n'autorise pas les types de recherche de sécurité ci-dessous :

Nous encourageons la recherche et le signalement responsable de toute vulnérabilité potentielle, mais nous interdisons expressément les comportements suivants :

  • L'engagement d'actions qui pourraient nuire à Salesforce ou à ses utilisateurs (notamment le spam, les attaques par force brute et par déni de service, etc.)
  • Tout accès, ou tentative d'accès, aux données ou informations qui ne vous appartiennent pas
  • La destruction ou la corruption, ou tentative de destruction ou de corruption, de données ou d'informations qui ne vous appartiennent pas
  • Les attaques physiques ou par voie électronique, sous quelque forme que ce soit, à l'encontre du personnel, de la propriété ou des centres de données de Salesforce
  • La manipulation sociale de tout service d'assistance, employé ou sous-traitant de Salesforce
  • L'exécution de tests de vulnérabilité sur les services participants par d'autres moyens que des comptes test (par exemple des instances Developer Edition ou Trial Edition)
  • La violation de la loi ou tout manquement aux accords en vigueur dans le but de détecter des vulnérabilités
 

Engagement de l'équipe de sécurité de Salesforce :

Nous vous demandons de ne pas partager ni divulguer une vulnérabilité non résolue à des tiers. Si vous signalez de façon responsable une vulnérabilité, l'équipe de sécurité de Salesforce et les organisations de développement associées déploieront des efforts raisonnables pour :

  • Répondre dans des délais raisonnables, en accusant réception de votre rapport sur la vulnérabilité
  • Établir une estimation du délai nécessaire pour remédier à la vulnérabilité signalée
  • Vous informer de la correction de la vulnérabilité

Nous souhaitons remercier chaque chercheur individuel qui soumet un rapport de vulnérabilité afin de nous aider à améliorer la stratégie de sécurité globale de Salesforce.