Поддръжка и изтегляне

Правила за разкриване на уязвимости на Brother PSIRT

 

 

Тази политика описва как клиентите и изследователите по сигурността съобщават за уязвимости на Brother („Brother“, „ние“, „нас“ или „наш“) и нашата поддръжка.

Обхват на доклада за уязвимост

Уязвимостта, свързана с нашите продукти, софтуер и облачни услуги, е предмет на доклад за уязвимост в съответствие с тази Политика.

Не приемаме отчети за следното:

• Неподдържани продукти (пробни версии, продукти с край на поддръжката)
• Невъзпроизводими уязвимости
• Разкрити уязвимости
• Уязвимости, които не могат да се използват
• Уязвимости от тип Обемни / Отказ от услуга (т.е. просто затрупване на нашата услуга с голям обем заявки)
• Слабости в конфигурацията на TLS (напр. „слаба“ поддръжка на пакет за шифроване или наличие на поддръжка на TLS 1.0, sweet32, BEAST и др.)
• Атаки чрез социално инженерство
• Грешки в сигурността в уебсайтове на трети страни, които се интегрират с Продуктите
• Доклади, показващи, че Продуктите не отговарят напълно на „най-добрите практики“, като например липсващи заглавки за сигурност

Докладване на уязвимост

Моля, използвайте формата за докладване на нашия уебсайт на линка по-долу, за да съобщите за уязвимост, свързана с нашите продукти, софтуер или облачни услуги.
Докладвайте потенциална уязвимост на сигурността на Brother PSIRT (само на английски)

За сортиране и приоритизиране на вашия отчет, моля, предоставете следната информация:

• Име на продукта, версия на софтуера и функционалност/мрежов протокол, където са открити уязвимости
• Потенциално въздействие, ако се използват уязвимости
• Подробно описание на стъпките за възпроизвеждане на уязвимостта

Brother PSIRT е точката за контакт за запитвания относно уязвимости на продукта. Моля, имайте предвид, че може да не сме в състояние да отговорим на запитвания, които не са свързани с уязвимости.
Относно запитвания, които не са свързани с уязвимости, моля, свържете се с местния център за обслужване на клиенти на Brother или с търговеца, от който сте закупили продукта. Моля, обърнете се към уебсайта на Brother за информация за контакт.

Нямаме намерение да предприемаме правни действия срещу специалисти по сигурността, които се опитват да проверят уязвимости или слабости в нашите продукти, софтуер или облачни услуги, при условие че са изпълнени следните условия:

• Тестването или проверката се извършва добросъвестно и с единствената цел да бъдат идентифицирани слабости или уязвимости в сигурността, като се полагат усилия да не се причинява вреда нито на физически лица, нито на нас
• Всяка информация, получена в резултат на подобни дейности, се използва основно с цел подобряване на сигурността или безопасността на нашите продукти или техните потребители

Въпреки че целта на подобни дейности е проверка на слабости или уязвимости в сигурността, следните действия са забранени:

• Всяка проверка, еквивалентна на DoS или DDoS атаки, както и всякакви други дейности, които нарушават достъпа до системи или увреждат системи или данни
• Физическо тестване, като неоторизиран достъп до нашите офиси или помещения, следване на служители без разрешение (tailgating), социално инженерство или всякакво друго тестване на не-технически уязвимости
• Опити за достъп до или промяна на акаунти или информация, различна от вашата собствена

Нашият отговор след получаване на сигнал

Ние ще потвърдим получаването на доклада в рамките на 7 дни след получаване на доклад относно уязвимост на нашите продукти, софтуер или облачни услуги. В някои случаи представител на търговската компания на Brother във вашия регион може да се свърже с вас относно доклада. За да улесним тази комуникация, може да споделим личната информация, която сте предоставили на Brother PSIRT Vulnerability Reporting Contact с търговската компания на Brother Моля, прегледайте нашата политика за поверителност за информация как обработваме личните данни.

Информацията, която предоставите, ще бъде обработена от екипа за сигурност на Brother, който ще разследва проблема в сътрудничество с нашия отдел за разработка. След като потвърдим дали уязвимостта съществува в наш продукт, ще се свържем с вас отново чрез имейл адреса, който сте предоставили.

Ако докладваната уязвимост бъде потвърдена като нов проблем, засягащ нашите продукти, софтуер или облачни услуги, съответните отдели ще определят цялостната политика за реакция и график, и ще предприемат съответните мерки.

Когато докладваната уязвимост бъде отстранена, ние ще се координираме с докладващия и съответните страни, за да определим дата за публикуване на съвет за сигурност, като гарантираме, че нашите клиенти могат да предприемат подходящи мерки. Веднага щом завършим подготовката за публично оповестяване, ще публикуваме съвета за сигурност на нашия уебсайт.

Награда за грешки

Ние не предлагаме платена програма за награди за грешки, независимо от съдържанието на доклада.