Signalement d’une vulnérabilité
Chez Iziflux, la sécurité de notre plateforme, de nos modules, et des données de nos clients est une priorité absolue.
Dans cette optique, nous encourageons les chercheurs en sécurité à analyser nos solutions et à nous signaler toute vulnérabilité potentielle, dans le respect des principes de divulgation responsable.
Comment nous signaler une vulnérabilité
Si vous pensez avoir identifié une faille de sécurité dans l’un de nos services ou modules, merci de nous contacter via l’adresse dédiée : contact@iziflux.com
Nous vous invitons à fournir le plus de détails possible dans votre signalement, notamment :
– Nom du module ou service concerné, avec la version exacte
– Version de la plateforme e-commerce utilisée (PrestaShop, Magento, etc.)
– Description claire de la vulnérabilité, avec son impact potentiel
– Étapes de reproduction détaillées
– Comportement observé vs comportement attendu
– Type de vulnérabilité détectée (XSS, RCE, CSRF, injection SQL, etc.)
– Captures d’écran, payloads ou preuves de concept (si disponibles)
– Contexte technique : configuration spécifique, version de PHP, serveur web, etc.
Important : Les signalements non reproductibles ou sans lien direct avec nos modules ou services seront ignorés.
Notre engagement pour une gestion responsable des vulnérabilités
Conformément à la Charte TouchWeb pour une cybersécurité responsable, Iziflux s’engage à :
– Accuser réception de tout signalement pertinent dans un délai de 7 jours maximum (CVSS ≥ 7.5)
– Analyser l’impact et planifier un correctif sous 30 jours
– Publier un avis de sécurité avec identifiant CVE si le score CVSS est ≥ 7.5
– Ne publier aucun correctif de manière silencieuse
Transparence, éthique et respect des chercheurs
Nous reconnaissons l’importance du travail des chercheurs en sécurité et nous engageons à :
– Ne pas engager de poursuites contre les personnes agissant de bonne foi
– Respecter la transparence des avis de sécurité, même en marque blanche
– Garantir une communication claire avec les parties concernées tout au long du processus
Cette politique est conçue pour protéger nos clients, renforcer la confiance dans notre solution, et contribuer à un écosystème numérique plus sûr, en conformité avec les standards tels que le PCI-DSS ou les déclinaisons comme SAQ-A.
Autorisation de publication
Nous autorisons expressément la société TouchWeb SAS à publier les informations relatives aux vulnérabilités corrigées de nos modules sur son site officiel, conformément aux engagements de la Charte de cybersécurité responsable.
Cette publication peut inclure :
– Un identifiant CVE associé à la vulnérabilité concernée
– Une note de sécurité détaillant la nature du problème et sa résolution
– Les versions affectées ainsi que la version corrigée
– Un correctif indépendant facilement déployable, lorsque la mise à jour complète n’est pas envisageable
– Toute information utile permettant aux utilisateurs, agences ou intégrateurs de réagir rapidement pour sécuriser leurs environnements
Nous avons pleinement conscience que cette transparence est indispensable pour aider toutes les parties prenantes (agences, marchands, etc.) à répondre à leurs obligations de conformité, notamment dans le cadre du standard PCI-DSS ou de ses déclinaisons comme la SAQ-A.
Publications
Aucune vulnérabilité connue ou publiée à ce jour.