Tuki ja ladattavat tiedostot
Brother PSIRT haavoittuvuusilmoituskäytäntö
Seuraavassa neuvomme miten asiakkaat ja tietoturva-asiantuntijat ilmoittavat haavoittuvuuksista Brotherille (seuraavassa “Brother”, “me” tai "meidän") ja tukeemme.
Haavoittuvuusilmoitusten käyttötarkoitus
Tuotteissamme, ohjelmistoissamme ja pilvipalveluissamme havaituista haavoittuvuuksista ilmoitetaan seuraavasti.
Emme ota vastaan ilmoituksia seuraavista:
- Tuotteet, joita ei tueta (koeversiot, tuotteet joiden tuki on päättynyt)
- Haavoittuvuudet, joita ei pystytä toistamaan
- TIedossa olevat haavoittuvuudet
- Haavoittuvuudet, joita muut eivät pysty hyödyntämään
- Joukkoistetut/palvelunesto(DoS)-haavoittuvuudet (so. palveluumme lähetetään suuri määrä ilmoituksia)
- TLS-asetuksiin liittyvät ongelmat (so. "heikko" salaustuki tai käytössä on TLS 1.0-tuki, sweet32, BEAST, jne.)
- Käyttäjän manipulointihyökkäykset
- Tietoturvapuutteet kolmannen osapuolen verkkosivustoilla, jotka liittyvät tuotteisiimme
- Ilmoitukset siitä että tuotteessa ei ole noudatettu alan "parhaita käytäntöjä", kuten että 'security headerit' puuttuvat
Haavoittuvuudesta ilmoittaminen
Jos havaitset tuotteissamme, ohjelmistoissamme tai pilvipalveluissamme haavoittuvuuden, pyydämme täyttämään verkkosivultamme löytyvän lomakkeen, johon pääset alla olevasta linkistä.
Ilmoita mahdollisesta tietoturvahaavoittuvuudesta Brotherille (lomake on englanninkielinen)
Ilmoituksen kiireellisyysarviota ja priorisointia varten pyydämme seuraavia tietoja:
- Tuotteen malli, ohjelmaversio ja toiminto/verkkoprotokolla jossa haavoittuvuus on havaittu.
- Mahdollinen haitta, jos haavoittuvuutta käytetään hyväksi.
- Yksityiskohtainen kuvaus toimenpiteistä, joita tarvitaan haavoittuvuuden toistamiseksi.
Brotherin PSIRT-osastoon otetaan yhteyttä kaikissa tuotehaavoittuvuuksia koskevissa asioissa. Pyydämme huomioimaan, että emme pysty vastaamaan kaikkiin tiedusteluihin jotka eivät liity haavoittuvuuksiin.
Koskien tiedusteluja, jotka eivät liity haavoittuvuuksiin pyydämme ottamaan yhteyttä Brotherin tukeen tai liikkeeseen, josta tuote on ostettu. Yhteystiedot löydät Brotherin verkkosivulta.
Toimenpiteet ilmoituksen saapumisen jälkeen
Kuittaamme ilmoituksen saapuneeksi 7 päivän kuluessa koskien tuotteissamme, ohjelmistoissamme tai pilvipalveluissamme havaittuja haavoittuvuuksia. Joissakin tapauksissa Brotherin maaedustaja voi ottaa yhteyttä ilmoitusta koskevissa asioissa. Tiedonkulun mahdollistamiseksi voimme jakaa yhteystietosi, jotka annoit Brotherin PSIRT-osastolle lähetetyllä lomakkeella, edustajamme kanssa. Henkilökohtaisten tietojen käsittelyssä käytetyt menettelytavat on selostettu verkkosivullamme Tietosuojakäytäntö.
Kyseisestä tuoteryhmästä vastaava tuotekehitysosasto perehtyy ilmoitukseen, ja tutkii onko kyseessä jo havaittu haavoittuvuus. Kun haavoittuvuuden luonne on selvitetty, otamme yhteyttä antamaasi sähköpostiosoitteeseen.
Kun haavoittuvuuteen on kehitetty korjaus, eri osapuolille tiedotetaan, koska julkaistaan haavoittuvuustiedote, jossa kerrotaan asiakkaillemme millaisiin vastatoimiin heidän tulee ryhtyä. Kun tiedote on valmis, se julkaistaan verkkosivullamme.
Haavoittuvuuspalkkiot
Emme maksa korvausta löydetyistä haavoittuvuuksista, riippumatta ilmoituksen sisällöstä.