Suunto s'engage à amener ce site Web au niveau AA de conformité aux directives d'accessibilité du contenu Web (Web Content Accessibility Guidelines, WCAG) 2.0 ainsi qu'à assurer sa conformité aux autres normes d'accessibilité. Adressez-vous au Service clients aux États-Unis au +1 855 258 0900 (appel gratuit) si vous rencontrez des problèmes pour accéder aux informations de ce site Web.

Politique de divulgation responsable de Suunto

Suunto s'engage à assurer la sécurité de tous ceux qui utilisent ses appareils et ses services. En règle générale, nous fournissons des mises à jour de sécurité pour corriger les vulnérabilités confirmées de nos appareils et services au moins deux ans après la première mise en vente ou utilisation commerciale de l'appareil ou du service. Tout le monde est encouragé à signaler les vulnérabilités identifiées, et nous apprécions votre aide pour les divulguer de manière responsable.

Cette politique de divulgation des vulnérabilités s'applique à toutes les failles que vous envisagez de nous signaler. Nous vous recommandons de lire attentivement cette politique de divulgation des vulnérabilités avant de signaler une faille et de toujours vous conformer à cette politique.

Nous remercions ceux qui prennent le temps et font l'effort de signaler les failles de sécurité conformément à cette politique. Toutefois, nous n'offrons pas de récompenses financières pour la divulgation de vulnérabilités.

# Signalement

Si vous pensez avoir découvert une faille de sécurité, veuillez nous envoyer un rapport par courrier électronique à l'adresse suivante : security@suunto.com.

Dans votre rapport, veuillez inclure les détails suivants :

  • L'appareil, le site web, l'adresse IP ou la page où la faille peut être observée ;
  • Une brève description du type de vulnérabilité, par exemple : « vulnérabilité XSS » ;
  • Étapes à reproduire. Il doit s'agir d'une démonstration de faisabilité bénigne et non destructive. 

Cela permet de s'assurer que le rapport peut être traité rapidement et avec précision. Cela réduit également la probabilité de rapports en double ou d'exploitation malveillante de certaines vulnérabilités, comme la prise de contrôle de sous-domaines.

Si vous ne signalez pas un problème de sécurité, nous ne sommes pas en mesure de répondre à votre message. Pour les problèmes ne relevant pas de la sécurité (y compris les problèmes liés à votre compte Suunto App, votre adresse e-mail, votre mot de passe, les appareils perdus ou volés ou les problèmes de confidentialité), veuillez consulter le site www.suunto.com/Support/.

# À quoi vous attendre

Une fois que vous aurez soumis votre rapport, nous y répondrons dans un délai de 7 jours ouvrables. Nous nous efforcerons également de vous tenir informé de notre progression jusqu'à ce que le problème soit résolu.

La priorité des mesures correctives est évaluée en fonction de l'impact, de la gravité et de la complexité de la faille. Le triage et le traitement des rapports de vulnérabilité peuvent prendre un certain temps. Vous pouvez vous renseigner sur l'état de la situation, mais évitez de le faire plus d'une fois tous les 14 jours. Cela permet à nos équipes de se concentrer sur les mesures correctives.

Nous vous informerons lorsque la faille signalée aura été corrigée, et vous pourrez être invité à confirmer que la solution résout la faille de manière adéquate.

Une fois la faille résolue, nous acceptons les demandes de divulgation de votre rapport.

Nous aimerions unifier les conseils aux utilisateurs concernés, alors continuez à coordonner la diffusion publique avec nous.

# Assistance

Vous ne devez PAS :

  • Enfreindre les lois et règlements en vigueur ;
  • Accéder à des quantités inutiles, excessives ou significatives de données ;
  • Modifier les données dans nos systèmes ou services ;
  • Utiliser des outils de balayage invasifs ou destructeurs à haute intensité pour trouver des vulnérabilités ;
  • Tenter ou signaler toute forme de déni de service, par exemple en saturant un service avec un volume élevé de demandes ;
  • Perturber nos services ou nos systèmes ;
  • Soumettre des rapports détaillant des failles non exploitables, ou des rapports indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », par exemple des en-têtes de sécurité manquants.
  • Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple la prise en charge d'une suite de chiffrement « faible » ou la présence d'une prise en charge TLS1.0 ;
  • Communiquer toute vulnérabilité ou tout détail associé autrement que par les moyens décrits dans la politique publiée ;
  • Faire de l'ingénierie sociale, de l'hameçonnage ou attaquer physiquement les employés ou l'infrastructure de Suunto ;
  • Demander une compensation financière afin de divulguer des vulnérabilités.

Vous devez :

  • Toujours respecter les règles de protection des données et ne pas porter atteinte à la vie privée des utilisateurs, employés, sous-traitants, services ou systèmes de Suunto. Par exemple, vous ne devez pas partager, redistribuer ou ne pas sécuriser correctement les données extraites des systèmes ou des services ;
  • Supprimer en toute sécurité toutes les données récupérées au cours de votre recherche dès qu'elles ne sont plus nécessaires ou dans un délai d'un mois à compter de la résolution de la vulnérabilité, le premier des deux prévalant (ou selon les exigences de la loi sur la protection des données).

# Légalités

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Elle ne vous autorise pas à agir d'une manière contraire à la loi ou susceptible d'amener Suunto ou les organisations partenaires à manquer à leurs obligations légales.