La sécurité de nos modules et de nos clients est primordiale. C'est pourquoi nous encourageons les chercheurs en sécurité à mener des analyses sur nos modules et à nous signaler toute vulnérabilité identifiée, dans le respect des bonnes pratiques de divulgation responsable.
Nous nous engageons à identifier et corriger toute vulnérabilité, et à communiquer de manière transparente avec les parties concernées tout au long du processus.
Si vous pensez avoir découvert une vulnérabilité dans l'un de nos modules, vous pouvez nous la signaler de manière responsable via l'adresse : [votre email]
Optionnel (à votre discrétion - à supprimer si non applicable) Seules les demandes ayant été soumises de manière chiffrée avec notre clé GPG publique [lien vers votre clé GPG] seront traitées, toutes les autres sont supprimées à réception.
Nous vous invitons à nous fournir le plus de détails possible (description, impact, version concernée, étapes de reproduction).
Optionnel (à votre discrétion - à supprimer si non applicable) Nous vous informons que les découvertes non reproductibles ou n'étant pas directement liées à nos modules sont ignorées.
Conformément à la Charte TouchWeb pour une cybersécurité responsable, notre équipe applique les principes suivants :
En parallèle, nous prenons les engagements suivants pour garantir une gestion responsable et éthique des vulnérabilités :
Nous avons bien conscience que cette transparence est essentielle pour permettre aux tiers concernés (agences, marchands, etc.) de satisfaire à leurs obligations de conformité, notamment dans le cadre du standard PCI-DSS ou de l'une de ses versions allégées, comme la SAQ-A.
Nous autorisons expressément la société TouchWeb SAS à publier les informations relatives aux vulnérabilités corrigées de nos modules sur son site officiel, conformément aux engagements de la Charte de cybersécurité responsable.
Cette publication comprend :
Vous trouverez ci-dessous la liste des vulnérabilités de sécurité connues et corrigées :
| Date | Module | Version | CWE | CVSS | CVE | |
|---|---|---|---|---|---|---|
| Impactée | Corrigée | |||||
| 2024-10-15 | Module Paiement XYZ | 2.3.0 à 2.3.4 | 2.3.5 | CWE-22 | 7.5 | CVE-AAAA-BBBB [Lien vers la CVE publiée sur TouchWeb.fr] |