Support & sécurité des apps/modules – transparence et expertise

1. Introduction

Les greffons pour CMS ecommerce sont appelés différemment suivant le CMS ecommerce : Magento & WooCommerce : plugin, PrestaShop : modules et Shopify : Apps. Ce document utilise la terminologie générale de greffon.

202 ecommerce produit 2 types de greffons :

Les greffons pour lesquels 202 ecommerce est éditeur, que nous appelons Apps & modules commerciaux.
Les greffons que nous réalisons en marque blanche pour des éditeurs de logiciels pour le ecommerce (exemple : module PayPal), que nous appelons connecteurs officiels.

Pour les connecteurs officiels, 202 ecommerce n’intervient que pour réaliser la maintenance et les évolutions desdits connecteurs, et, suivant les connecteurs, le support aux marchands.

2. Politique de support aux marchands

2.1. Modalités de support

Pour obtenir du support sur un greffon édité ou géré par 202 ecommerce, il est nécessaire de faire une demande via l’interface indiquée sur la page « Apps et modules ». D’une manière générale, si le greffon est publié dans un magasin d’applications qui permet de contacter le développeur, c’est le canal qui est à utiliser.

202 ecommerce travaille les jours et tranches horaires ouvrables, toute l’année. Nous mettons tout en oeuvre pour adresser les demandes de support en moins d’un jour ouvré.

202 ecommerce ne modifie jamais la boutique d’un marchand, que ce soit du contenu, des configurations ou du code informatique : 202 ecommerce propose une méthode de résolution dont la mise en oeuvre est la responsabilité du marchand.

Déroulement du traitement d’une demande de support :

1 – Recherche de la source du dysfonctionnement

2 – Résolution, dépendant de la source du problème :

Problème de configuration ou mauvaise compréhension du fonctionnement : la réponse est livrée immédiatement, charge au marchand de modifier la configuration s’il y a lieu.
Bug dans le greffon : 202 ecommerce corrige le greffon. Un hotfix pourra être fourni au marchand pour le débloquer immédiatement, et la correction reportée dans une version ultérieure du greffon.

Les évolutions et corrections des greffons sont testées sur les versions supportés du CMS, avec les modules natifs.

Incompatibilité avec un autre greffon ou avec un développement spécifique du marchand : 202 ecommerce documente l’incompatibilité constatée, et se tient disponible pour répondre à toutes questions induites, charge au marchand d’engager les acteurs pertinents.

2.2. Fourniture d’accès aux boutiques des marchands

Si 202 ecommerce fait la demande d’accès au CMS ecommerce du marchand (interface d’administration ou FTP/SSH), il est expressément demandé au marchand de fournir des accès créés spécifiquement pour 202 ecommerce, avec des mots de passe forts, et qui seront fermés après l’intervention de 202 ecommerce.

De son côté, 202 ecommerce supprime automatiquement de son logiciel de ticketing les accès fournis par les marchands un mois après la clôture de la demande de support ou du dernier échange.

2.3. Politique de gestion des données

Voir mentions légales. Dans le cas des connecteurs officiels, en plus de la politique de gestion des données générale, 202 ecommerce agissant en sous traitant des éditeurs de logiciels, 202 ecommerce s’interdit toute utilisation des informations des marchands pour des activités de démarchage commercial.

3. Politique de Cybersécurité

3.1. La transparence pour lutter contre la cybercriminalité

Dans un écosystème distribué (ie : non SAAS), la transparence des éditeurs de logiciels et éditeurs de greffons sur la gestion des vulnérabilités est essentielle pour permettre aux acteurs impliqués (utilisateurs, prestataires, etc…) de prendre leurs dispositions.

Aussi, 202 ecommerce s’engage à respecter des bonnes pratiques en la matière, et notamment :

Pas de correction silencieuse : correction explicite et publication de CVE si applicable
Analyse de toute remontée de potentielle vulnérabilité
Maintenir une politique de Cybersécurité

3.2. Signalement et gestion des vulnérabilités

Nous encourageons les chercheurs en sécurité à mener des analyses sur nos greffons et à nous signaler toute vulnérabilité identifiée, dans le respect des bonnes pratiques de divulgation responsable.

Si vous pensez avoir découvert une vulnérabilité dans l’un de nos greffons, vous pouvez nous la signaler de manière responsable via l’adresse : tech chez 202-ecommerce.com. Nous vous invitons à nous fournir le plus de détails possible (description, impact, version concernée, étapes de reproduction). Nous vous informons que les découvertes non reproductibles ou n’étant pas directement liées à nos modules sont ignorées.

Nous nous engageons à traiter ces signalements de la manière suivante :

Accusé de réception de tout signalement pertinent sous 7 jours maximum. (CVSS ≥ 4.0 – Score à votre discrétion avec un maximum de 7.5)
Analyse d’impact et planification d’un correctif sous 30 jours maximum.
Publication d’un avis de sécurité avec CVE si le score CVSS est ≥ 7.5.

Nous nous engageons à ne pas poursuivre les chercheurs agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS.