Responsible Disclosure Policy Foxit Software

Foxit prend la sécurité très au sérieux et a l'ambition de fournir des solutions et des services les plus sécurisés du secteur afin de préserver la sécurité des données et des systèmes des clients. Chez Foxit, nous étudions tous les rapports de vulnérabilité que nous recevons et nous mettons en œuvre le meilleur plan d'action pour protéger nos clients. Pour Foxit, travailler avec des chercheurs chevronnés en matière de sécurité permet d'identifier des faiblesses dans une technologie.

Si vous êtes chercheur en sécurité et si vous avez découvert une vulnérabilité de sécurité dans nos produits et services, nous apprécions votre aide en nous en faisant part de manière responsable.

Si vous avez identifié une vulnérabilité vérifiée conformément à la politique de divulgation responsable de Foxit, l'équipe de sécurité de Foxit s'engage à :

  • Fournir rapidement un accusé de réception de votre rapport de vulnérabilité (sous 48 heures ouvrables après l'envoi)
  • Travailler en étroite collaboration avec vous pour comprendre la nature du problème et définir un calendrier pour le résoudre/le divulguer ensemble
  • Vous informer lorsque la vulnérabilité est résolue, afin qu'elle puisse être testée à nouveau et confirmée comme étant corrigée
  • Publier une description dans un bulletin de sécurité lors la publication de la correction et souligner votre contribution
  • Publier un conseil de sécurité si nécessaire

Signalement d'une vulnérabilité de sécurité potentielle :

  • Envoyez un e-mail à [email protected] pour demander une clé gpg
  • Communiquez en toute confidentialité les détails de la vulnérabilité suspectée à Foxit en envoyant un e-mail chiffré à l'aide de la clé gpg à l’adresse [email protected]
  • Fournissez les détails complets de la vulnérabilité suspectée afin que l'équipe de sécurité de Foxit puisse valider et reproduire le problème

Foxit n'autorise pas certains types de recherche de sécurité :

Pour encourager la divulgation responsable, nous demandons à tous les chercheurs de se conformer aux directives de divulgation responsable suivantes :

  • Laissez-nous un temps raisonnable pour résoudre le problème avant de le divulguer au public ou à un tiers. Notre objectif est de résoudre les problèmes critiques le plus rapidement possible.
  • Faites un effort de bonne foi pour éviter d’enfreindre la confidentialité, de détruire les données, ou d'interrompre ou de dégrader le service fourni par Foxit lors de l’utilisation du logiciel.

Pendant la recherche, le comportement suivant est formellement interdit :

  • Effectuer des actions susceptibles de nuire à Foxit et à ses utilisateurs (par exemple, courriers indésirables, attaque en force brute, attaque par déni de service…)
  • Accéder (ou tenter d'accéder) à des données ou à des informations qui ne vous appartiennent pas
  • Détruire ou endommager (ou tenter de détruire ou d'endommager) des données ou des informations qui ne vous appartiennent pas
  • Mener un type quelconque d'attaque physique ou électronique envers le personnel, la propriété ou les centres de données de Foxit
  • Effectuer un piratage psychologique à destination du centre d'assistance, des employés ou des sous-traitants de Foxit
  • Violer des lois ou enfreindre des accords afin de découvrir des vulnérabilités

Le responsable de la sécurité et le directeur juridique de Foxit examinent tous les ans notre politique de divulgation des vulnérabilités d'un point de vue légal et opérationnel.

Foxit souhaite remercier tous les chercheurs individuels qui envoient un rapport de vulnérabilité et nous aident à améliorer notre état de sécurité global chez Foxit.