Soporte de seguridad

Política PSIRT de divulgación de vulnerabilidades de Brother

 

 

Esta política describe como los clientes y los investigadores de seguridad reportan vulnerabilidades a Brother ("Brother", "nosotros", o "nuestro") y nuestro soporte.

Alcance del reporte de vulnerabilidades

Las vulnerabilidades relacionadas con nuestros productos, software, y servicios en la nube son sujeto del reporte de vulnerabilidades de acuerdo con dicha política.

No aceptamos reporte los siguientes asuntos:

• Productos sin soporte (versiones de prueba, productos con soporte en fin de vida, descatalogados)
• Vulnerabilidades no replicables
• Vulnerabilidades ya comunicadas
• Vulnerabilidades no explotables
• Vulnerabilidades volumétricas / de denegación de servicio (es decir, simplemente sobrecargar nuestro servicio con un gran volumen de solicitudes)
• Debilidades en la configuración de TLS (por ejemplo, un cifrado "débil" o la presencia de soporte TLS 1.0, sweet32, BEAST, etc. )
• Ataques de ingeniería social
• Errores de seguridad en páginas de terceros que se integren con los Productos
• Reportes indicando que los Productos no se alinean con las "mejores prácticas", tales como ausencia de cabeceros de seguridad

Notificar una vulnerabilidad

Por favor, use el formulario de reportes de nuestra página web usando el link proporcionado debajo para informar de una vulnerabilidad relacionada con nuestros productos, software, y servicios en la nube.
Reportar una potencial vulnerabilidad de seguridad a Brother PSIRT (Solo en inglés)

Para clasificar y priorizar su reporte, por favor, añada la siguiente información:

• Nombre de producto, versión de software y funcionalidad / protocolo de red donde las vulnerabilidades hayan sido descubiertas
• Potencial impacto si las vulnerabilidades son explotadas
• Una descripción detallada de los pasos para reproducir la vulnerabilidad

Brother PSIRT es el punto de contacto para consultas acerca de las vulnerabilidades. Tenga en cuenta que es posible que no podamos responder a consultas que no estén relacionadas con vulnerabilidades.
En caso de consultas no relacionadas con vulnerabilidades, póngase en contacto con su centro de atención al cliente local de Brother o con el distribuidor donde adquirió el producto. Por favor, vea la página web de Brother para información de contacto.

No tenemos intención de emprender acciones legales contra investigadores de seguridad que intenten verificar fallos o vulnerabilidades en nuestros productos, software o servicios en la nube, siempre que se cumplan las siguientes condiciones:

• Las pruebas o investigaciones se llevan a cabo de buena fe, con el único propósito de identificar fallos o vulnerabilidades de seguridad, y procurando evitar cualquier daño tanto a las personas como a nuestra organización
• Cualquier información obtenida de estas actividades se utiliza principalmente para mejorar la seguridad de nuestros productos o la de sus usuarios

Sin embargo, incluso si el objetivo de estas actividades es verificar fallos o vulnerabilidades de seguridad, las siguientes acciones están prohibidas:

• Cualquier verificación equivalente a ataques DoS o DDoS, o cualquier otra actividad que interrumpa el acceso a sistemas o datos, o que los dañe
• Pruebas físicas como el acceso no autorizado a nuestras oficinas o instalaciones, el tailgating, la ingeniería social o cualquier otro tipo de prueba de vulnerabilidades no técnicas
• Intentos de acceder a cuentas o información que no sean las tuyas, o de modificarlas

Nuestra respuesta después de recibir un reporte

Acusaremos recibo la recepción del informe en un plazo de 7 días tras la recepción de un informe relativo a una vulnerabilidad de nuestros productos, software o servicios en la nube. En algunos casos, un representante de Brother en su región puede ponerse en contacto con usted en relación con el informe. Para facilitar esta comunicación, podemos compartir la información personal que proporcionó al contacto de notificación de vulnerabilidades PSIRT de Brother con la oficina local de Brother. Por favor, revise nuestra política de privacidad para más información sobre cómo manejamos información personal.

La información que nos facilites será gestionada por el Brother PSIRT, que investigará el problema en colaboración con nuestro departamento de desarrollo. Una vez que hayamos confirmado si la vulnerabilidad existe en nuestro producto, nos pondremos en contacto contigo nuevamente a través del correo electrónico que nos hayas proporcionado.

Si se confirma que la vulnerabilidad reportada es un problema nuevo que afecta a nuestros productos, software o servicios en la nube, los departamentos correspondientes determinarán de manera exhaustiva la política de respuesta y el calendario de actuación, y procederán con las medidas oportunas.

Cuando la vulnerabilidad reportada se resuelve, nos coordinaremos con el informante de dicha vulnerabilidad, y partes relevantes para establecer una fecha de publicación de una advertencia de seguridad, asegurándonos que nuestros clientes puedan tomar medidas adecuadas. En cuanto finalicemos la preparación para la divulgación pública, publicaremos el aviso de seguridad en nuestra página web.

Recompensas

No ofrecemos un programa remunerado de recompensas por fallos, independientemente del contenido del informe.