Podpora a soubory ke stažení

Zásady zveřejňování informací o zranitelnostech – Brother PSIRT

 

 

Tyto zásady popisují způsob, jakým zákazníci a odborní pracovníci v oblasti bezpečnosti oznamují zranitelnosti společnosti Brother (dále jen „Brother“, „my“ nebo „náš“) a naší podpoře.

Předmět oznámení o zranitelnosti

V souladu s těmito zásadami se oznamují zranitelnosti týkající se našich produktů, softwaru a cloudových služeb.

Nepřijímáme oznámení týkající se následujícího:

• nepodporované produkty (zkušební verze, produkty s ukončenou životností)
• neopakovatelné zranitelnosti
• zveřejněné zranitelnosti
• nezneužitelné zranitelnosti
• zranitelnosti vůči volumetrickým útokům nebo útokům typu DoS (tj. prosté zahlcení naší služby velkým množstvím požadavků)
• slabiny konfigurace TLS (např. „slabá“ podpora sad šifer nebo přítomnost podpory TLS 1.0, sweet32, BEAST atd.)
• útoky s využitím sociálního inženýrství
• bezpečnostní chyby na webových stránkách třetích stran, které jsou propojeny s produkty
• zprávy o tom, že produkty nejsou plně v souladu s „osvědčenými postupy“, např. chybějící bezpečnostní hlavičky

Oznámení zranitelnosti

Pro oznámení zranitelnosti týkající se našich produktů, softwaru a cloudových služeb použijte formulář na našem webu, který je dostupný na níže uvedeném odkazu.
Oznámit týmu Brother PSIRT potenciální bezpečnostní chybu (pouze v angličtině)

Pro účely zpracování a posouzení závažnosti vašeho oznámení uveďte následující informace:

• název produktu, verzi softwaru a funkce / síťový protokol, kde byly zjištěny zranitelnosti
• potenciální dopad v případě zneužití zjištěných zranitelností
• podrobný popis kroků za účelem reprodukování příslušné zranitelnosti

Kontaktním místem pro dotazy týkající se zranitelností produktů je tým Brother PSIRT. Upozorňujeme, že neodpovídáme na dotazy, které se netýkají zranitelností.
V případě dotazů nesouvisejících se zranitelnostmi se obraťte na místní call centrum společnosti Brother nebo na prodejce, u kterého jste produkt zakoupili. Kontaktní údaje najdete na webových stránkách společnosti Brother.

Nemáme v úmyslu podniknout právní kroky proti bezpečnostním výzkumníkům, kteří se pokusí ověřit bezpečnostní nedostatky nebo zranitelnosti v našich produktech, softwaru nebo cloudových službách, pokud jsou splněny následující podmínky:

• Testování nebo vyšetřování se provádí v dobré víře za jediným účelem identifikace bezpečnostních nedostatků nebo zranitelností, s opatrností, aby se zabránilo jakékoli újmě jednotlivců nebo nás
• Veškeré informace získané z těchto činností se používají především ke zlepšení zabezpečení našich produktů nebo jejich uživatelů

I když je účelem takových činností ověření bezpečnostních nedostatků nebo zranitelností, jsou následující činnosti zakázány:

• Jakékoli ověření ekvivalentní útokům DoS nebo DDoS nebo jakékoli jiné aktivity, které narušují přístup k systémům či datům nebo je poškozují
• Fyzické testování, jako je neoprávněný vstup do našich kanceláří nebo prostor, sledování zákazníků, sociální inženýrství nebo jakékoli jiné netechnické testování zranitelností
• Pokusy o přístup k jiným účtům nebo informacím než k těm vašim

Vyřízení obdrženého oznámení

Přijetí oznámení potvrdíme do 7 dnů od obdržení oznámení o zranitelnosti našich produktů, softwaru nebo cloudových služeb. V některých případech vás v souvislosti s obdrženým oznámením může kontaktovat zástupce prodejce společnosti Brother ve vašem regionu. Pro usnadnění této komunikace můžeme prodejci společnosti Brother předat osobní údaje, které jste poskytli kontaktní osobě týmu Brother PSIRT pro oznamování zranitelností, k čemuž udělujete oznámením zranitelnosti výslovný souhlas. Informace o tom, jak nakládáme s osobními údaji, najdete v našich zásadách ochrany osobních údajů.

Informace, které nahlásíte, budou spravovány týmem Brother PSIRT, který problém prošetří ve spolupráci s naším vývojovým oddělením. Jakmile potvrdíme, zda se v našem produktu nachází zranitelnost, budeme vás znovu kontaktovat na vámi uvedenou e-mailovou adresu.

Pokud se potvrdí, že nahlášená zranitelnost představuje nový problém ovlivňující naše produkty, software nebo cloudové služby, příslušná oddělení komplexně stanoví politiku a harmonogram reakce a přijmou vhodná opatření.

Po vyřešení nahlášené zranitelnosti budeme s oznamovatelem a příslušnými stranami koordinovat stanovení data zveřejnění bezpečnostního doporučení, které našim zákazníkům umožní přijmout příslušná opatření. Po dokončení přípravy oficiálního oznámení zveřejníme bezpečnostní doporučení na našich webových stránkách.

Bug bounty

Za oznámení zranitelnosti (bez ohledu na jeho obsah) nevyplácíme žádné finanční odměny, tj. nenabízíme program bug bounty s finančními odměnami.