Support og downloads

Brother PSIRT-politik om offentliggørelse af sårbarhed

 

 

Denne politik beskriver, hvordan kunder og sikkerhedsresearchers rapporterer sårbarheder til Brother ("Brother", "vi", "os" eller "vores") og vores support.

Omfang af sårbarhedsrapport

Sårbarhed relateret til vores produkter, software og cloud-tjenester er underlagt sårbarhedsrapporten i overensstemmelse med denne politik.

Vi accepterer ikke rapporter for følgende:

• Ikke-understøttede produkter (prøveversioner, produkter der ikke længere supporteres)
• Ikke-reproducerbare sårbarheder
• Påviste sårbarheder
• Ikke-udnyttelige sårbarheder
• Volumetriske/Denial of service-sårbarheder (dvs. at overdynge vores service med en stor mængde anmodninger)
• TLS-konfigurationssvagheder (f.eks. "svag" krypteringspakkeunderstøttelse eller tilstedeværelsen af TLS 1.0-understøttelse, sweet32, BEAST osv.)
• Social Engineering-angreb
• Sikkerhedsfejl på tredjepartswebsteder, der integreres med produkterne
• Rapporter, der angiver, at produkterne ikke er helt i overensstemmelse med "best practise" (bedste fremgangsmåder), såsom manglende sikkerhedsoverskrifter

Rapportering af en sårbarhed

Brug venligst rapportformularen på vores hjemmeside, som kan tilgås via linket nedenfor, for at rapportere sårbarhed relateret til vores produkter, software og cloud-tjenester.
Rapporter en potentiel sikkerhedssårbarhed til Brother PSIRT (kun på engelsk)

For at visitere og prioritere din rapport skal du oplyse følgende:

• Produktnavn, softwareversion og funktionalitet/netværksprotokol, hvor sårbarheder er blevet opdaget
• Potentiel indvirkning, hvis sårbarheder udnyttes
• En detaljeret beskrivelse af trinene til at reproducere sårbarheden

Brother PSIRT er kontaktpunktet for forespørgsler vedrørende produktsårbarheder. Bemærk venligst, at vi muligvis ikke er i stand til at besvare henvendelser, der ikke er relateret til sårbarheder.
Angående forespørgsler, der ikke er relateret til sårbarheder, bedes du kontakte dit lokale Brother-supportcenter eller den forhandler, hvor du købte produktet. Se venligst Brothers hjemmeside for kontaktoplysninger.

Vi har ikke til hensigt at anlægge sag mod sikkerhedsforskere, der forsøger at verificere sikkerhedsfejl eller sårbarheder i vores produkter, software eller cloudtjenester, så længe følgende betingelser er opfyldt:

• Test eller undersøgelse udføres i god tro, med det ene formål at identificere sikkerhedsfejl eller sårbarheder, med omhu for at undgå at forårsage skade på enkeltpersoner eller os
• Enhver information, der stammer fra sådanne aktiviteter, bruges primært til at forbedre sikkerheden for vores produkter eller deres brugere

Men selvom formålet med sådanne aktiviteter er at verificere sikkerhedsfejl eller sårbarheder, er følgende aktiviteter forbudt:

• Enhver verifikation svarende til DoS- eller DDoS-angreb eller andre aktiviteter, der forstyrrer adgangen til eller beskadiger systemer eller data
• Fysisk test, såsom uautoriseret adgang til vores kontorer eller lokaler, tailgating, social engineering eller enhver anden ikke-teknisk sårbarhedstest
• Forsøg på at få adgang til eller ændre konti eller oplysninger ud over dine egne

Vores svar efter at have modtaget en rapport

Vi bekræfter modtagelse inden for 7 dage, efter at have modtaget en rapport vedrørende en sårbarhed for vores produkter, software eller cloud-tjenester. I nogle tilfælde kan en repræsentant fra Brother, i din region, kontakte dig angående rapporten. For at lette denne kommunikation kan vi dele de personlige oplysninger, som du har givet til Brother PSIRT Vulnerability Reporting Contact med Brother i din region. Læs venligst vores privatlivspolitik for information om, hvordan vi håndterer personlige oplysninger.

De oplysninger, du rapporterer, vil blive håndteret af Brother PSIRT, som vil undersøge problemet i samarbejde med vores udviklingsafdeling. Når vi har bekræftet, om sårbarheden findes i vores produkt, kontakter vi dig igen via den e-mailadresse, du har angivet.

Hvis det bekræftes, at den rapporterede sårbarhed er et nyt problem, der påvirker vores produkter, software eller cloud-tjenester, vil de relevante afdelinger fastlægge en omfattende politik og tidsplan for responsen og iværksætte passende foranstaltninger.

Når den rapporterede sårbarhed er løst, vil vi koordinere med rapportøren og relevante parter for at fastsætte en dato for offentliggørelse af en sikkerhedsadvisering, hvilket sikrer, at vores kunder kan træffe passende foranstaltninger. Så snart vi har afsluttet forberedelsen til offentliggørelse, vil vi offentliggøre sikkerhedsrådgivningen på vores hjemmeside.

Fejlfindingsdusør

Vi tilbyder ikke et betalt program med fejlfindingsdusør, uanset indholdet af rapporten.