Biztonsági támogatás

A Brother PSIRT sebezhetőségre vonatkozó közzétételi szabályzata

 

 

Ez a szabályzat leírja, hogy az ügyfelek és a biztonsági kutatók hogyan jelentik be a sebezhetőséget a Brothernek („Brother”, „mi”, „minket” vagy „a mi”) és a mi támogatásunknak.

A sebezhetőségi jelentés hatálya

A termékeinkkel, szoftvereinkkel és felhőszolgáltatásainkkal kapcsolatos sebezhetőségekről a jelen Szabályzatnak megfelelően biztonsági rés jelentést kell készíteni.

Nem fogadunk el jelentést a következőkről:

• Nem támogatott termékek (próbaverziók, lejáratú termékek)
• Nem reprodukálható biztonsági rések
• Nyilvános biztonsági rések
• Nem kihasználható biztonsági rések
• Volumetrikus/szolgáltatásmegtagadási biztonsági rések (azaz egyszerűen túlterheljük szolgáltatásunkat nagy mennyiségű kéréssel)
• TLS konfigurációs hiányosságok (pl. "gyenge" titkosítócsomag-támogatás vagy TLS 1.0 támogatás, sweet32, BEAST stb.)
• Pszichológiai befolyásolás: amikor a támadó nem technológiai sebezhetőségeket használ ki, hanem arra törekszik, hogy megtévesszen egy felhasználót
• Biztonsági hibák harmadik felek webhelyein, amelyek integrálódnak a Termékekkel
• Jelentések, amelyek jelzik, hogy a termékek nem teljesen igazodnak a „bevált gyakorlatokhoz”, például hiányzó biztonsági fejlécekhez

Sebezhetőség bejelentése

Kérjük, használja a weboldalunkon található bejelentési űrlapot az alábbi linken a termékeinkkel, szoftvereinkkel és felhőszolgáltatásainkkal kapcsolatos sebezhetőség bejelentéséhez.
Potenciális biztonsági rés bejelentése a Brother PSIRT-nek (csak angol nyelven)

A jelentés osztályozása és prioritása érdekében, kérjük, adja meg a következő információkat:

• Terméknév, szoftververzió és funkció/hálózati protokoll, ahol a biztonsági réseket észlelték
• Lehetséges hatás a sebezhetőségek kihasználása esetén
• A biztonsági rés reprodukálásához szükséges lépések részletes leírása

A Brother PSIRT a kapcsolattartó pont a termékek sebezhetőségeivel kapcsolatos kérdések esetén. Felhívjuk figyelmét, hogy előfordulhat, hogy nem tudunk válaszolni olyan megkeresésekre, amelyek nem kapcsolódnak sebezhető pontokhoz.
A sebezhető pontokkal nem kapcsolatos kérdéseivel forduljon a helyi Brother telefonos ügyfélszolgálathoz vagy ahhoz a kereskedőhöz, ahol a terméket vásárolta. Kérjük, keresse fel a Brother weboldalát az elérhetőségekért.

Nem áll szándékunkban jogi lépéseket tenni a biztonsági kutatók ellen, akik megpróbálják ellenőrizni termékeinkben, szoftvereinkben vagy felhőszolgáltatásainkban található biztonsági hibákat vagy sebezhetőségeket, amennyiben a következő feltételek teljesülnek:

• A tesztelést vagy vizsgálatot jóhiszeműen, kizárólag biztonsági hibák vagy sebezhetőségek azonosítása céljából végezzük, ügyelve arra, hogy ne okozzunk kárt sem az egyéneknek, sem nekünk
• Az ilyen tevékenységekből származó információkat elsősorban termékeink vagy felhasználóik biztonságának javítására használjuk fel

Azonban, még ha az ilyen tevékenységek célja biztonsági hibák vagy sebezhetőségek ellenőrzése is, a következő tevékenységek tilosak:

• Bármely, a DoS vagy DDoS támadásokkal egyenértékű ellenőrzés, vagy bármilyen más tevékenység, amely megzavarja a rendszerekhez vagy adatokhoz való hozzáférést, vagy károsítja azokat
• Fizikai tesztelés, például irodáinkba vagy telephelyeinkre való jogosulatlan belépés, illegális belépés a számítógépes hálózatba, társadalmi manipuláció vagy bármilyen más nem technikai jellegű sebezhetőségi tesztelés
• Megpróbál hozzáférni vagy megváltoztatni a saját fiókjaidon vagy információidon kívül

Válaszunk a bejelentés után

A termékeink, szoftvereink vagy felhőszolgáltatásaink sebezhetőségére vonatkozó bejelentés kézhezvételétől számított 7 napon belül visszaigazoljuk a bejelentés kézhezvételét. Egyes esetekben az Ön régiójában működő Brother értékesítési vállalat képviselője kapcsolatba léphet Önnel a jelentéssel kapcsolatban. A kommunikáció megkönnyítése érdekében megoszthatjuk a Brother PSIRT sebezhetőségi jelentési kapcsolattartójának megadott személyes adatokat a Brother értékesítési vállalattal. Kérjük, tekintse át adatvédelmi szabályzatunkat a személyes adatok kezelésével kapcsolatos információkért.

A bejelentett információkat a Brother PSIRT fogja kezelni, amely fejlesztő részlegünkkel együttműködve kivizsgálja a problémát. Amint megerősítettük, hogy a sebezhetőség fennáll-e a termékünkben, ismét felvesszük Önnel a kapcsolatot a megadott e-mail címen.

Amennyiben a jelentett sebezhetőségről bebizonyosodik, hogy új probléma, amely termékeinket, szoftvereinket vagy felhőszolgáltatásainkat érinti, az illetékes osztályok átfogóan meghatározzák a reagálási irányelveket és ütemtervet, és megteszik a megfelelő intézkedéseket.

A jelentett sérülékenység feloldása után egyeztetünk a bejelentővel és az érintett felekkel, hogy meghatározzuk a biztonsági figyelmeztetés közzétételének időpontját, biztosítva ezzel, hogy ügyfeleink megtehessék a megfelelő intézkedéseket. Amint befejeztük a nyilvánosságra hozatal előkészítését, weboldalunkon közzétesszük a biztonsági tájékoztatót.

Bug bounty (hibafeltáró program)

Nem kínálunk fizetős hibajavító programot, függetlenül a jelentés tartalmától.