Tuki ja ladattavat tiedostot

Brother PSIRT haavoittuvuusilmoituskäytäntö

 

 

Seuraavassa neuvomme miten asiakkaat ja tietoturva-asiantuntijat ilmoittavat haavoittuvuuksista Brotherille (seuraavassa “Brother”, “me” tai "meidän") ja tukeemme.

Haavoittuvuusilmoitusten käyttötarkoitus

Tuotteissamme, ohjelmistoissamme ja pilvipalveluissamme havaituista haavoittuvuuksista ilmoitetaan seuraavasti.

Emme ota vastaan ilmoituksia seuraavista:

• Tuotteet, joita ei tueta (koeversiot, tuotteet joiden tuki on päättynyt)
• Haavoittuvuudet, joita ei pystytä toistamaan
• TIedossa olevat haavoittuvuudet
• Haavoittuvuudet, joita muut eivät pysty hyödyntämään
• Joukkoistetut/palvelunesto(DoS)-haavoittuvuudet (so. palveluumme lähetetään suuri määrä ilmoituksia)
• TLS-asetuksiin liittyvät ongelmat (so. "heikko" salaustuki tai käytössä on TLS 1.0-tuki, sweet32, BEAST, jne.)
• Käyttäjän manipulointihyökkäykset
• Tietoturvapuutteet kolmannen osapuolen verkkosivustoilla, jotka liittyvät tuotteisiimme
• Ilmoitukset siitä että tuotteessa ei ole noudatettu alan "parhaita käytäntöjä", kuten että 'security headerit' puuttuvat

Haavoittuvuudesta ilmoittaminen

Jos havaitset tuotteissamme, ohjelmistoissamme tai pilvipalveluissamme haavoittuvuuden, pyydämme täyttämään verkkosivultamme löytyvän lomakkeen, johon pääset alla olevasta linkistä.
Ilmoita mahdollisesta tietoturvahaavoittuvuudesta Brotherille (lomake on englanninkielinen)

Ilmoituksen kiireellisyysarviota ja priorisointia varten pyydämme seuraavia tietoja:

• Tuotteen malli, ohjelmaversio ja toiminto/verkkoprotokolla jossa haavoittuvuus on havaittu
• Mahdollinen haitta, jos haavoittuvuutta käytetään hyväksi
• Yksityiskohtainen kuvaus toimenpiteistä, joita tarvitaan haavoittuvuuden toistamiseksi

Brotherin PSIRT-osastoon otetaan yhteyttä kaikissa tuotehaavoittuvuuksia koskevissa asioissa. Pyydämme huomioimaan, että emme pysty vastaamaan kaikkiin tiedusteluihin jotka eivät liity haavoittuvuuksiin.
Koskien tiedusteluja, jotka eivät liity haavoittuvuuksiin pyydämme ottamaan yhteyttä Brotherin tukeen tai liikkeeseen, josta tuote on ostettu. Yhteystiedot löydät Brotherin verkkosivulta.

Tarkoituksemme ei ole ryhtyä oikeudellisiin toimenpiteisiin niitä tutkijoita vastaan, jotka yrittävät löytää tietoturvapuutteita tai haavoittuvuuksia tuotteistamme, ohjelmistoista tai pilvipalveluista, seuraavilla ehdoilla:

• Testit tai tutkimukset suoritetaan hyvässä uskossa ja ainoana tarkoituksena tietoturvapuutteiden tai haavoittuvuuksien löytäminen, aiheuttamatta vahinkoa yksityishenkilöille tai meille
• Tutkimusten tuottamaa tietoa käytetään ensisijaisesti tuotteidemme tai niiden käyttäjien tietosuojan tai tietoturvan parantamiseen

Kuitenkaan tutkittaessa tietoturvapuutteita tai haavoittuvuuksia ei saa käyttää seuraavanlaisia menetelmiä:

• Kaikki palvelunestohyökkäyksiin (DoS- tai DDoS-hyökkäykset) verrattavat menetelmät tai muut toimenpiteet, jotka estävät palvelujen käyttöä, tai vahingoittavat tietojärjestelmää tai tiedon eheyttä
• Fyysiset testit, kuten luvaton tunkeutuminen toimistoomme tai muihin tiloihimme, yritykset manipuloida tai vaikuttaa työntekijöihin, ja muut ei-tekniset keinot
• Yritykset päästä käsiksi tai muuttaa muita kuin omia tietoja tai käyttäjätilejä

Toimenpiteet ilmoituksen saapumisen jälkeen

Kuittaamme ilmoituksen saapuneeksi 7 päivän kuluessa koskien tuotteissamme, ohjelmistoissamme tai pilvipalveluissamme havaittuja haavoittuvuuksia. Joissakin tapauksissa Brotherin maaedustaja voi ottaa yhteyttä ilmoitusta koskevissa asioissa. Tiedonkulun mahdollistamiseksi voimme jakaa yhteystietosi, jotka annoit Brotherin PSIRT-osastolle lähetetyllä lomakkeella, edustajamme kanssa. Henkilökohtaisten tietojen käsittelyssä käytetyt menettelytavat on selostettu verkkosivullamme Tietosuojakäytäntö.

Meille toimitettujen tietojen hallinnasta vastaa Brother PSIRT, joka tutkii tapauksen kehitysosastomme kanssa. Kun olemme varmistaneet haavoittuvuuden olemassaolon, lähetämme viestin antamaasi sähköpostiosoitteeseen.

Jos raportoitu haavoittuvuus osoittautuu ennen tuntemattomaksi ja sellaiseksi, että se vaikuttaa tuotteisiimme, ohjelmistoihin tai pilvipalveluihin, vastaavat osastot määrittelevät tarvittavat korjaavat toimenpiteet ja niiden aikataulun, ja suorittavat käytännön toimenpiteet.

Kun haavoittuvuuteen on kehitetty korjaus, eri osapuolille tiedotetaan, koska julkaistaan haavoittuvuustiedote, jossa kerrotaan asiakkaillemme millaisiin vastatoimiin heidän tulee ryhtyä. Kun tiedote on valmis, se julkaistaan verkkosivullamme.

Haavoittuvuuspalkkiot

Emme maksa korvausta löydetyistä haavoittuvuuksista, riippumatta ilmoituksen sisällöstä.