Politique de divulgation responsable

Introduction au programme

Nitro apprécie les contributions des chercheurs en sécurité qui nous aident à maintenir la sécurité et la protection des informations de nos utilisateurs. Nous reconnaissons que même avec nos meilleurs efforts, des vulnérabilités peuvent exister. Ce programme encourage la divulgation responsable des problèmes de sécurité, ce qui nous permet de les traiter rapidement et efficacement. En signe de reconnaissance, nous offrons des récompenses pour les vulnérabilités qualifiantes signalées dans le cadre de ce programme.

Champ d'application

Ce programme couvre les applications Nitro suivantes :

• Nitro Pro (Windows, Mac, iOS)
• Nitro Sign
• Nitro Admin
• Workspace
• Nitro Identity

Nous priorisons les rapports de vulnérabilités ayant un impact significatif sur la sécurité de Nitro et de ses utilisateurs.

Règles d'engagement

Pour participer à ce programme, vous devez respecter les directives suivantes :

• Test autorisé : Ne testez les vulnérabilités que sur des comptes que vous possédez ou pour lesquels vous avez obtenu une permission explicite de tester.
• Preuve de concept uniquement : N'exploitez pas les vulnérabilités au-delà du minimum nécessaire pour démontrer leur existence. Ne vous servez pas des résultats pour accéder, modifier ou supprimer des données sans autorisation.
• Protection des données : N'enregistrez, ne transférez, ni ne traitez aucune information sensible découverte lors des tests. Supprimez toutes les copies de données sensibles immédiatement après avoir signalé. Aucune activité perturbatrice : Évitez toute activité susceptible de perturber, d'endommager ou de nuire à Nitro, à ses marques ou à ses utilisateurs. Cela inclut, mais sans s'y limiter, l'ingénierie sociale, le phishing, les attaques physiques sur la sécurité et les attaques par déni de service.
• Cibles dans le champ d'application : Signalez uniquement les vulnérabilités trouvées au sein des applications listées.
• Confidentialité : Ne divulguez pas publiquement d'informations sur les vulnérabilités sans la permission écrite explicite de Nitro.
• Priorité aux premiers rapporteurs : Nous récompensons uniquement le premier rapporteur d'une vulnérabilité valide.
• Disqualification : Nous nous réservons le droit de disqualifier quiconque se livrant à un comportement irrespectueux ou perturbateur.
  
  

Exigences de signalement

Pour garantir un traitement efficace, veuillez fournir les informations suivantes dans votre rapport :

1. Description de la vulnérabilité : Une description claire et concise de la vulnérabilité.
2. Étapes de reproduction : Instructions détaillées étape par étape sur la façon de reproduire la vulnérabilité.
3. Preuve de concept : Captures d'écran, vidéos ou autres éléments de preuve démontrant l'exploitabilité de la vulnérabilité.
4. Évaluation de l'impact : Une explication claire de l'impact potentiel de la vulnérabilité sur Nitro et ses utilisateurs.
5. Score CVSSv3 proposé (optionnel) : Si possible, fournissez un score CVSSv3 proposé pour nous aider à prioriser le problème.
6. URL et paramètres affectés : Une liste d'URL pertinentes et de paramètres affectés.
7. Informations complémentaires : Toute autre information pertinente, comme les URL vulnérables, les charges utiles ou le code de preuve de concept.
8. Environnement de test : Le navigateur, le système d'exploitation et/ou la version de l'application utilisée lors des tests.
9. Gestion des pièces jointes : Veuillez inclure toutes les preuves de soutien et pièces jointes directement dans votre rapport.