Sicurezza informatica

Politica di sicurezza per i nostri moduli Prestashop

Ultima modifica 30/05/2025

Segnalazione di una vulnerabilità

La sicurezza dei nostri moduli Prestashop e dei nostri clienti o utenti nel caso di moduli gratuiti è essenziale. Incoraggiamo pertanto i ricercatori di sicurezza a condurre analisi sui nostri moduli e a segnalarci eventuali vulnerabilità identificate, in conformità con le buone pratiche di divulgazione responsabile.
Ci impegniamo a identificare e riparare eventuali vulnerabilità e a comunicare in modo trasparente con le parti interessate durante tutto il processo.
Se pensi di aver scoperto una vulnerabilità in uno dei nostri moduli, puoi segnalarcela in modo responsabile tramite il modulo di contatto sezione 5 - Sicurezza. Per identificare ed essere in grado di correggere la vulnerabilità il più presto possibile, si prega di specificare:

1. Il nome del modulo
2. VLa versione del modulo
3. Configurazione del modulo (schermo di screening se possibile)
4. La versione di Prestashop
5. Tipo di vulnerabilità (XSS, SQL Injection, CSRF, ECR, ecc.)
6. Passi precisi per riprodurre l'impresa : : :
   • Le istruzioni passo-passo
   • Codice (script, SQL, js...)
   • Screenshot o video se possibile
7. Impatto (accesso al backoffice, furto di dati, accesso non autorizzato, elevazione dei privilegi, ecc.).
8. Ambiente Ambiente : : :
   • La versione di PHP
   • Server Web (Apache, Nginx, ecc.)
   • Sistema operativo (Mac OS, Linux, Windows, ecc.).

Vi informiamo inoltre che le scoperte che non riproducibili o non direttamente correlate ai nostri moduli saranno ignorate.

La nostra politica di gestione delle vulnerabilità

In conformità con la Carta TouchWeb per la sicurezza informatica responsabile, il nostro team applica i seguenti principi:

• Riconoscimento della ricezione di qualsiasi segnalazione pertinente entro 7 giorni, CVSS 7.0
• Valutazione d'impatto e pianificazione della correzione entro 30 giorni al massimo
• Emissione di un avviso di sicurezza con CVE se il punteggio CVSS è di 7,5 euro
• Nessuna correzione sarà pubblicata in silenzio.

Allo stesso tempo, ci avvaliamo dei seguenti impegni per garantire una gestione responsabile ed etica delle vulnerabilità:

• Non perseguire i ricercatori che agiscono in buona fede, in particolare nell'ambito del programma YesWeHack gestito da TouchWeb SAS
• Garantire che nessun accordo di riservatezza, compresa la white label, possa ostacolare la pubblicazione trasparente di un avviso di sicurezza con un identificatore CVE, in conformità con lo stato dell'arte

Siamo ben consapevoli che questa trasparenza è essenziale per consentire alle terze parti interessate (agenzie, commercianti, ecc.) di rispettare i loro obblighi di conformità, in particolare ai sensi dello standard PCI-DSS o di una delle sue versioni semplificate, come SAQ-A.

Autorizzazione alla pubblicazione

Consentiamo espressamente a TouchWeb SAS di pubblicare informazioni sulle vulnerabilità corrette dei nostri moduli sul suo sito ufficiale, in conformità con gli impegni della Carta responsabile della sicurezza informatica.

La pubblicazione comprende:

• Un identificatore CVE associato alla vulnerabilità
• Una nota di sicurezza che descrive chiaramente il problema e la sua risoluzione
• Le versioni in questione e la versione corretta
• Una patch facile da implementare quando l'aggiornamento non è possibile
• Qualsiasi informazione utile per consentire agli utenti e alle agenzie di proteggersi rapidamente

La prevenzione

Poiché è intrinsecamente molto difficile identificare difetti di sicurezza senza specifiche competenze e strumenti di analisi del codice. L'agenzia offre uno script open source gratuito, che richiede pochissime risorse e ti avvisa via e-mail se modifichi o crei un file sul tuo sito. Eseguirlo ogni 5 minuti, ad esempio, permette di essere avvisato in caso di intrusione e di essere in grado di analizzare i log del server web per identificare da dove può provenire il difetto.

Le pubblicazioni

Di seguito è riportato un elenco di vulnerabilità di sicurezza note e corrette: