Politique de divulgation responsable

Chez Salesforce, la confiance est notre première valeur et nous collaborons avec nos clients, partenaires et entreprise afin de renforcer les liens entre tous les utilisateurs du Cloud.

Image

Présentation

Les chercheurs en sécurité indépendants jouent un rôle précieux dans la sécurité Internet. Par conséquent, nous encourageons les rapports responsables sur toute vulnérabilité détectée sur notre site ou dans nos applications. Salesforce poursuit son engagement à collaborer avec les chercheurs en sécurité afin de vérifier et de résoudre toute vulnérabilité potentielle signalée.

En tant que composant de la divulgation responsable, Salesforce enverra des notifications aux clients potentiellement touchés lorsqu’ils devront prendre des mesures pour corriger ou résoudre une vulnérabilité préalablement à la divulgation publique du problème et à la publication d’un Common Vulnerabilities and Exposures (CVE®).

Veuillez consulter ces conditions avant de tester et/ou signaler une vulnérabilité. Salesforce s'engage à ne pas intenter de procédure judiciaire contre les chercheurs qui pénètrent ou tentent de pénétrer nos systèmes, à condition qu'ils adhèrent à cette politique.

Image
Image

Merci aux contributeurs !

Nous apprécions ceux qui partagent notre pensée : La confiance est notre première valeur. Consultez la liste des clients et utilisateurs qui nous ont aidé à améliorer notre niveau de sécurité global chez Salesforce.

Découvrez notre politique

  • Test des failles de sécurité

    Lorsqu'une édition Trial ou Developer est disponible, vous devez effectuer tous les tests de vulnérabilité sur ces instances. Lorsque vous effectuez des tests sur nos services en ligne, vous devez toujours utiliser des comptes test ou de démonstration. Pour de plus amples informations sur les évaluations, exigences, restrictions et planification de sécurité, consultez le Test de pénétration et d’évaluation des vulnérabilités. Consulter l’article d’aide >

  • Signalement d'une faille de sécurité potentielle

    Partagez en privé les détails complets sur la vulnérabilité suspecte afin de permettre à l'équipe de sécurité de Salesforce de valider et de reproduire le problème. Envoyer un e-mail à Sécurité Salesforce >

  • Salesforce n'autorise pas les types de recherche sur la sécurité ci-dessous

    Nous vous encourageons à détecter toute vulnérabilité et à nous la signaler de façon responsable, mais nous interdisons les comportements suivants :

    • L'exécution d'actions qui risquent d'affecter négativement Salesforce ou ses utilisateurs (par exemple, l'envoi de Courrier indésirable ou Spam, les Attaques en force brute, le Déni de service, etc.)
    • L'accès, ou la tentative d'accès, aux données ou aux informations qui ne vous appartiennent pas
    • La destruction ou la corruption, ou la tentative de destruction ou de corruption, des données ou des informations qui ne vous appartiennent pas
    • Toute attaque physique ou électronique contre le personnel, la propriété ou les centres de données de Salesforce
    • L'ingénierie sociale contre tout service d'assistance, employé ou sous-traitant de Salesforce
    • L'exécution de tests de vulnérabilité sur les services participants en utilisant un compte autre qu'un compte test (par exemple des instances Developer Edition ou Trial Edition)
    • La violation de la loi ou de tout contrat en vigueur dans le but de détecter des vulnérabilités
  • L'engagement de l'équipe de Sécurité Salesforce

    Nous vous demandons de ne pas partager ni de publier une vulnérabilité non résolue avec/pour des tiers. Si vous soumettez un rapport responsable sur une vulnérabilité, l'équipe de Sécurité Salesforce et les organisations de développement associées déploieront des efforts raisonnables pour :

    • Répondre en temps voulu, en accusant réception de votre rapport sur la vulnérabilité
    • Estimer le délai nécessaire pour étudier le rapport sur la vulnérabilité
    • Informer une fois la vulnérabilité corrigée