Skip to main content

Programme et plateforme de divulgation des vulnérabilités du centre d'appels

Qu'est-ce que le VDP?

La protection de la sécurité et de l'intégrité de la plateforme Five9 est essentielle au service que nous fournissons à nos clients, et nous nous engageons à fournir un produit sécurisé. Nous reconnaissons et apprécions l’expérience que la communauté de recherche en sécurité fournit fréquemment, et Five9 reconnaît que le développement d’une relation étroite avec la communauté aidera à améliorer notre propre sécurité.

Si vous avez découvert ou pensez avoir découvert des failles de sécurité potentielles dans les services Five9, nous vous exhortons à nous communiquer votre découverte conformément au présent Programme de divulgation responsable. Sachez que ce programme ne comporte aucune récompense monétaire.

Image
What is the VDP?

Par où commencer?

Découvrir les vulnérabilités de sécurité

Nous encourageons la recherche responsable en matière de sécurité sur les services et produits Five9. Après approbation écrite préalable, nous vous autorisons à effectuer des recherches et des tests de vulnérabilité sur les services Five9 auxquels vous avez autorisé l'accès. Les demandes doivent être envoyées à privacy@five9.com.

En aucun cas, vos recherches et vos essais ne doivent impliquer :

  1. Accéder ou tenter d'accéder à des comptes ou à des données qui ne vous appartiennent pas, ni à vos utilisateurs autorisés,
  2. Toute tentative de modification ou de destruction de données,
  3. Exécuter ou tenter d'exécuter une attaque par déni de service,
  4. Envoi ou tentative d'envoi de courriels non sollicités ou non autorisés, de spams ou d'autres formes de messages non sollicités à tout employé ou sous-traitant de Five9
  5. Tester des sites Web, des applications ou des services tiers qui s'intègrent aux services Five9,
  6. Publier, transmettre, télécharger, créer des liens, envoyer ou stocker des logiciels malveillants, des virus ou des logiciels nuisibles similaires, ou tenter d’interrompre ou de dégrader les services Five9, et
  7. Toute activité violant toute loi applicable ou violant tout accord visant à découvrir des vulnérabilités

Problèmes à ne pas signaler

  1. Divulgation de fichiers ou de répertoires publics connus (p. ex. robots.txt)
  2. Divulgation de bannières sur les services communs/publics
  3. Suggestions de configuration de l'en-tête de sécurité HTTP/HTTPS/SSL/TLS
  4. Manque de signalements sécurisés/HTTPOnly sur les témoins non sensibles
  5. Techniques d'hameçonnage ou de piratage psychologique
  6. Présence d'opérations de saisie semi-automatique ou d'enregistrement du mot de passe de l'application/du navigateur Web
  7. Suggestions de configuration du Sender Policy Framework (SPF)
  8. Configurations DMARC
  9. Détournement de clic/Redressage d'interface utilisateur

Signaler des failles de sécurité

En attente d'approbation écrite de la part de Five9 pour mener la recherche, si vous pensez avoir découvert un problème de vulnérabilité à la sécurité, veuillez partager les détails avec Five9 en remplissant le formulaire ci-dessous.

Sphère de Sécurité

Lorsque nous menons des recherches sur les vulnérabilités conformément à cette politique, nous considérons que ces recherches sont :

  • Autorisées conformément à la Computer Fraud and Abuse Act (CFAA) (et/ou à des lois de l'état similaires), et nous n'engagerons ni nous ne soutiendrons aucune action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique
  • Exemptées du Digital Millennium Copyright Act (DMCA), et nous n'intenterons aucune action contre vous pour contournement des contrôles technologiques;
  • Exemptées des restrictions de nos Conditions générales qui interféreraient avec la réalisation de recherches de sécurité, et nous renonçons à ces restrictions de manière limitée pour les travaux effectués dans le cadre de cette politique; et
  • Légales, utiles à la sécurité globale d'Internet et menées de bonne foi.
  • Vous êtes tenu, comme toujours, de vous conformer à toutes les lois applicables.

Si, à tout moment, vous avez des inquiétudes ou si vous n'êtes pas certain que votre recherche de sécurité est conforme à cette politique, veuillez vous renseigner auprès de support@bugcrowd.com avant d'aller plus loin.

Engagement de l'équipe de sécurité Five9

Veuillez noter que votre recherche est considérée comme les informations confidentielles de Five9 et que toute publication, reproduction ou autre distribution de l'une des recherches quelconques est expressément interdite sans le consentement écrit préalable de Five9. Si vous soumettez un rapport de vulnérabilité de manière responsable, l'équipe de sécurité Five9 et les organisations de développement associées déploieront des efforts raisonnables pour :

  1. Répondre en temps opportun, en accusant réception de votre rapport de vulnérabilité
  2. Fournir un délai estimé pour traiter le rapport de vulnérabilité
  3. Vous avertir lorsque la vulnérabilité a été corrigée

Signaler une vulnérabilité ou un bogue