Essai gratuit

Sécurité chez OneSpan

Afin de respecter les normes les plus strictes en matière de sécurité et d'intégrité des produits, OneSpan suit un processus structuré et collaboratif pour la divulgation des résultats en matière de sécurité. Ce processus garantit une investigation, une résolution et une communication rapides des vulnérabilités de sécurité.

1. Découverte

Le processus de divulgation commence lorsqu'une vulnérabilité présumée est identifiée dans un produit OneSpan. Cela peut se produire par le biais :

  • Signalements directs de tiers par e-mail (de la part de clients et de partenaires) et via le programme de prime aux bogues de OneSpan (de la part de chercheurs en sécurité).
  • Des divulgations publiques sur des forums consacrés à la sécurité (par exemple, Bugtraq, VulnDev)
  • Découverte interne par les équipes OneSpan

Programme de prime aux bogues :

OneSpan encourage la divulgation responsable par le biais de son programme de prime aux bogues Intigriti.

Ce programme est accessible à tous les chercheurs Intigriti enregistrés.

Il couvre OneSpan Sign, Intelligent Adaptive Authentication (IAA) et OneSpan Cloud Authentication (OCA). Veuillez vous référer à la portée et aux directives du programme sur la plateforme Intigriti pour plus de détails.

Adresse e-mail pour la divulgation responsable :

Pour les divulgations non couvertes par notre programme de prime aux bogues, veuillez envoyer un e-mail à [email protected].

OneSpan encourage le chiffrement et la signature numérique des informations sensibles envoyées à OneSpan. OneSpan prend en charge le chiffrement des fichiers à l'aide de Pretty Good Privacy (PGP) et GNU Privacy Guard (GPG). La clé publique PGP de OneSpan présente les propriétés suivantes :

  • Clé PGP : Lien de téléchargement
  • ID de clé : 0x2EB08598
  • Empreinte digitale (hexadécimale) : A793 C580 E3B0 9BDD 1D29 913B 5172 2DF0 2EB0 8598
  • Empreinte digitale (biométrique) : repay molasses solo intention tissue phonetic puppy tambourine Belfast certify pheasant councilman drunken holiness button upcoming buzzard phonetic music narrative

Dès réception d'un rapport, l'équipe de sécurité associée enregistre la vulnérabilité avec les détails à l'appui et accuse réception au rapporteur. Si le rapport est privé, l'équipe de sécurité associée demande la confidentialité jusqu'à la publication d'une résolution, en maintenant des pratiques de divulgation responsables.

2. Analyse interne

L'équipe de sécurité collabore avec les équipes produit concernées afin de :

  • Reproduire et vérifier le problème signalé
  • Confirmer s'il s'agit d'une faille de sécurité

Tout au long de cette phase, l'équipe de sécurité reste en contact étroit avec le rapporteur afin de :

  • Valider le problème
  • Recueillir des détails techniques
  • Garantir la mise en place de mesures correctives appropriées

Les informations sensibles sont traitées de manière confidentielle et ne sont communiquées qu'aux personnes directement impliquées dans la résolution du problème. Les vulnérabilités confirmées sont évaluées à l'aide du système de notation CVSS, version 3.0.

3. Atténuation

Une fois la vérification effectuée, l'équipe produit :

  • Détermine les versions du produit concernées
  • Développe et teste des correctifs
  • Estime les délais de publication des correctifs

4. Notification

L'équipe de sécurité évalue la nécessité d'une divulgation publique et détermine le format approprié pour l'avis de sécurité. Si la divulgation est justifiée :

  • Un avis de sécurité est rédigé en collaboration avec l'équipe produit et publié sur le portail d'assistance produit, dans la base de connaissances. Les avis de sécurité ne sont accessibles qu'aux utilisateurs authentifiés. Veuillez consulter l'article KB0014814 pour savoir comment vous connecter ou obtenir des identifiants (https://support.onespan.com/csm?id=kb_article&sysparm;_article=KB0014814).
  • Le rapporteur peut être remercié (avec son consentement).
  • Les identifiants CVE peuvent être demandés à MITRE Corporation.

Ce processus actualisé reflète l'engagement de OneSpan en faveur de la transparence, de la collaboration et de l'amélioration continue de la sécurité des produits.