PrestaSafe s’engage pour la sécurité et la transparence

Dans une démarche proactive en matière de cybersécurité, PrestaSafe a officiellement signé la Charte pour une cybersécurité responsable portée par TouchWeb SAS.

En adhérant à cette charte, nous nous engageons à appliquer les bonnes pratiques de divulgation responsable, à traiter chaque signalement de faille avec sérieux, et à communiquer en toute transparence avec les utilisateurs, partenaires et chercheurs en sécurité.

Cet engagement garantit que toute vulnérabilité identifiée dans nos modules fait l’objet :

  • d’un accusé de réception rapide,
  • d’une analyse rigoureuse,
  • d’une correction publique documentée,
  • et, si nécessaire, de la publication d’un avis de sécurité avec CVE.

Parce que la confiance passe par la transparence, PrestaSafe place la sécurité de ses utilisateurs au cœur de ses priorités.

Signalement d’une vulnérabilité

La sécurité de nos modules et la protection de nos utilisateurs sont au cœur de nos préoccupations.

C’est pourquoi nous soutenons les initiatives de recherche en cybersécurité et invitons toute personne ayant identifié une faille potentielle dans l’un de nos modules à nous en faire part, dans le respect des bonnes pratiques de divulgation responsable.

Nous nous engageons à analyser rapidement chaque signalement recevable, à corriger toute vulnérabilité confirmée, et à échanger de manière claire et transparente avec toutes les parties impliquées.

Si vous pensez avoir découvert une vulnérabilité, vous pouvez la transmettre via l’adresse suivante : contact@prestasafe.com

Merci de nous fournir un maximum d’éléments pour faciliter l’analyse :

  • Description précise de la faille
  • Impact potentiel
  • Versions concernées
  • Étapes de reproduction claires

Note : Les signalements non reproductibles ou sans lien direct avec nos modules pourront ne pas être pris en compte.

Notre politique de gestion des vulnérabilités

Nous avons officiellement adhéré à la Charte pour une cybersécurité responsable éditée par TouchWeb SAS, qui fixe un cadre transparent, équitable et conforme aux standards actuels de la sécurité applicative.

Dans ce cadre, nous appliquons les règles suivantes :

  • Accusé de réception sous 7 jours ouvrés pour tout signalement considéré comme pertinent (score CVSS ≥ 7.5)
  • Analyse d’impact et planification d’un correctif sous 30 jours
  • Publication d’un avis de sécurité avec CVE si la gravité est élevée (score CVSS ≥ 7.5)
  • Aucune faille n’est corrigée en silence : toute correction fait l’objet d’une publication explicite

Nos engagements envers la communauté sécurité

Nous nous engageons à respecter les chercheurs agissant de bonne foi :

  • Aucune poursuite ne sera engagée contre les chercheurs ayant respecté les règles de divulgation responsable, y compris ceux participant au programme YesWeHack géré par TouchWeb SAS
  • Aucun accord de confidentialité, même dans le cadre d’un contrat en marque blanche, ne pourra bloquer la publication d’un avis de sécurité ou d’un CVE, dès lors qu’une faille est avérée

Cette politique de transparence est essentielle pour garantir à tous (agences, e-commerçants, prestataires techniques) la possibilité de satisfaire leurs obligations de conformité (ex. : norme PCI-DSS, SAQ-A, etc.)

Publication des vulnérabilités corrigées

Nous autorisons formellement TouchWeb SAS à publier sur son site officiel les détails des vulnérabilités identifiées et corrigées dans nos modules, dans le strict respect de la Charte susmentionnée.

Chaque publication contiendra les éléments suivants :

  • Un identifiant CVE
  • Une note explicative sur la faille et sa résolution
  • Les versions impactées et la version corrigée
  • Le cas échéant, un patch autonome pour les cas où une mise à jour n’est pas envisageable
  • Toutes les informations nécessaires à une protection rapide et efficace des utilisateurs