Xeal

Sécurité et conformité

Politique de divulgation responsable

Aperçu

Ce document donne un aperçu du programme de divulgation responsable de Xeal, également connu sous le nom de programme de prime aux bogues (« bug bounty »). Xeal soutient et récompense les chercheurs en sécurité qui agissent de bonne foi pour nous aider à améliorer la sécurité de nos produits et services par le biais de la divulgation responsable, à condition que ces divulgations soient effectuées conformément aux termes et conditions de la présente politique.

Avant de soumettre tout résultat à ce programme, vous devez lire et comprendre intégralement le contenu de la présente politique.

En retour, Xeal offre une compensation basée sur notre évaluation interne de la gravité de tout problème découvert.

Périmètre

Le programme de prime aux bogues de Xeal s'applique uniquement aux logiciels Xeal — il ne s'applique pas au matériel Xeal. La raison en est double :

1) Simplement dit, la sécurité — comme tout équipement de recharge VÉ, les bornes de recharge Xeal contiennent des circuits haute tension. Tenter d'accéder physiquement au matériel de la borne de recharge, surtout si elle est sous tension, est extrêmement dangereux et peut endommager à la fois la borne et la personne qui s'y livre à des manipulations !

2) Xeal travaille avec une entreprise spécialisée de premier plan en tests d'intrusion matérielle, et dispose de ressources internes en tests d'intrusion matérielle axées sur ce domaine.

Compte tenu de cela, les produits logiciels Xeal suivants sont dans le périmètre :

Absolument hors périmètre :

  • Vulnérabilités matérielles.
  • Applications commerciales tierces utilisées par Xeal.
  • Environnements hors production, sauf si leurs vulnérabilités ont un impact direct sur les environnements de production.
  • Tout ce qui se trouve sur GitHub qui ne fait pas partie de l'organisation « xealenergy ».

TLes types de vulnérabilités suivants ne sont pas considérés dans le périmètre, sauf si notre mise en œuvre a entraîné une fuite de données ou une prise de contrôle de compte :

  • Configuration et bonnes pratiques telles que SPF/DMARC, CORS, en-têtes de sécurité ou chiffrements SSL/TLS non sécurisés.
  • Déni de service.
  • Divulgation d'informations telles que le chemin de fichier, sauf si elle peut mener à des informations sensibles.
  • Détournement de clic (clickjacking).
  • Politiques de courriel et de compte telles que la méthode de réinitialisation et la complexité du mot de passe.
  • Attaques XSS théoriques ou auto-XSS sans preuve d'exploitabilité, comme une entrée reflétée dans la réponse.
Règles d'engagement et questions juridiques

Xeal n'engagera pas de poursuites judiciaires contre les personnes ou entités qui soumettent des rapports de vulnérabilité portant sur des produits et services dans le périmètre (tels que définis ci-dessus), via les canaux approuvés (définis ci-dessous).

De plus, Xeal accepte de ne pas engager de poursuites judiciaires contre les personnes ou entités qui respectent les règles d'engagement suivantes lors de l'identification et de la soumission de vulnérabilités :

  • Les tests et/ou recherches doivent être non perturbateurs (p. ex., aucun déni de service) et ne doivent pas nuire aux opérations ou aux clients de Xeal. Si vous n'êtes pas certain qu'un test particulier causera une perturbation, péchez par excès de prudence et ne l'effectuez pas sans avoir consulté au préalable l'équipe de sécurité de Xeal.
  • Les tests et/ou recherches doivent porter uniquement sur des systèmes dans le périmètre. Si vous n'êtes pas certain qu'un système est dans le périmètre, veuillez le demander.
  • Les tests et/ou recherches ne doivent pas chercher délibérément à accéder aux informations appartenant aux clients de Xeal. Au lieu de cela, un chercheur doit utiliser ses propres comptes dans l'environnement Xeal.
  • Les chercheurs en sécurité doivent s'abstenir de divulguer publiquement des problèmes avant une date de divulgation mutuellement convenue.
  • Les chercheurs en sécurité sont responsables de s'assurer qu'ils respectent les lois et la législation locales en tout temps.
  • Tous les chercheurs en sécurité souhaitant être pris en considération pour une compensation lors de la soumission d'une vulnérabilité doivent s'assurer que leurs recherches ou tests sont menés conformément aux règles d'engagement susmentionnées.
Comment signaler une vulnérabilité à Xeal

Les rapports de vulnérabilité doivent être soumis à l'équipe de sécurité Xeal par courriel à security@xealenergy.com.

Xeal suit la norme security.txt ( https://securitytxt.org/ ) pour transmettre les informations les plus récentes concernant notre programme de divulgation responsable et nos méthodes de communication privilégiées.

Veuillez consulter notre fichier security.txt à l'URL suivante pour vous assurer de disposer des dernières informations avant de soumettre une vulnérabilité : https://www.xealenergy.com/.well-known/security.txt

Le fichier security.txt contient un lien vers la clé PGP publique de l'équipe de sécurité Xeal, qui peut être utilisée en option pour chiffrer les rapports entrants. Cela peut être conseillé si la soumission du rapport comprend des données sensibles.

Préférences, priorisation et critères d'acceptation

Afin de tirer le meilleur parti de ce programme, tant pour Xeal que pour le chercheur en sécurité participant, nous vous conseillons fortement, et accorderons la priorité aux divulgations qui comprennent :

  • Des rapports bien rédigés, soumis en anglais dans la mesure du possible.
  • Des rapports incluant du code de preuve de concept permettant à Xeal de mieux trier le problème.
  • Des rapports incluant des détails sur la façon dont la vulnérabilité a été identifiée, une cote d'impact suggérée et toute correction potentielle que vous pourriez proposer.
  • Des rapports qui sont plus que de simples résultats d'outils de tests automatisés et d'analyses.
  • Des rapports incluant toute intention ou calendrier de divulgation publique.

Si vous suivez ces directives, vous pouvez vous attendre à ce qui suit de la part de Xeal :

  • Une réponse rapide à votre divulgation initiale.
  • Un dialogue ouvert comprenant les calendriers de correction prévus lorsqu'une correction est nécessaire.
  • Une notification lorsque la correction finale a été effectuée.
  • Une compensation le cas échéant (voir ci-dessous).
Compensation

Xeal compense les chercheurs en sécurité sur la base des facteurs suivants :

  • La gravité du problème identifié (nous utilisons une formule liée au CVSS).
  • La qualité du rapport.
  • L'évaluation interne des risques de Xeal concernant le problème.
  • Si le problème a déjà été divulgué à Xeal avant votre soumission ou non (nous ne versons une prime qu'une seule fois par problème).
  • Toute législation applicable susceptible d'avoir un impact sur notre capacité à accorder une compensation, par exemple, les sanctions internationales à l'encontre de personnes ou de pays.

Xeal travaillera avec le chercheur pour faciliter le paiement. Les montants des paiements sont entièrement à la discrétion de Xeal — ce à quoi vous acceptez lors de la soumission de bogues dans le cadre de ce programme.