Supporto Sicurezza

Politica di divulgazione delle vulnerabilità di Brother PSIRT

 

 

Questa politica descrive il modo in cui i clienti e i ricercatori sulla sicurezza segnalano le vulnerabilità a Brother (“Brother”, “noi”, o “nostro”) e al nostro supporto.

Ambito del rapporto sulla vulnerabilità

La vulnerabilità relativa ai nostri prodotti, software e servizi cloud è soggetta a segnalazione di vulnerabilità in conformità con la presente Politica.

Non accettiamo segnalazioni per quanto segue:

• Prodotti non supportati (versioni di prova, prodotti al termine del ciclo di vita del supporto)
• Vulnerabilità non riproducibili
• Vulnerabilità divulgate
• Vulnerabilità non sfruttabili
• Vulnerabilità volumetriche/Denial of Service (ovvero, inviare al nostro servizio con un volume elevato di richieste)
• Punti deboli della configurazione TLS (ad esempio, supporto "debole" della suite di crittografia o presenza del supporto TLS 1.0, sweet32, BEAST, ecc.)
• Attacchi di ingegneria sociale
• Bug di sicurezza nei siti Web di terzi che si integrano con i Prodotti
• Rapporti che indicano che i Prodotti non sono completamente in linea con le "migliori pratiche", ad esempio intestazioni di sicurezza mancanti

Segnalazione di una vulnerabilità

Si prega di utilizzare il modulo di segnalazione sul nostro sito Web al collegamento sottostante per segnalare vulnerabilità relative ai nostri prodotti, software e servizi cloud.
Report a potential security vulnerability to Brother PSIRT (Solo inglese)

Per classificare e dare priorità alla tua segnalazione, fornisci le seguenti informazioni:

• Nome del prodotto, versione del software e funzionalità/protocollo di rete in cui sono state scoperte le vulnerabilità
• Impatto potenziale in caso di sfruttamento delle vulnerabilità
• Una descrizione dettagliata dei passaggi per riprodurre la vulnerabilità

Brother PSIRT è il punto di contatto per domande relative alle vulnerabilità del prodotto. Potremmo non essere in grado di rispondere a richieste non correlate alle vulnerabilità.
Per domande non correlate alle vulnerabilità, contattare il call center Brother locale o il rivenditore presso cui è stato acquistato il prodotto. Fare riferimento al sito Web di Brother per le informazioni di contatto.

Non intraprenderemo azioni legali contro i ricercatori di sicurezza che tentano di verificare falle o vulnerabilità nella sicurezza dei nostri prodotti, software o servizi cloud, purché siano soddisfatte le seguenti condizioni:

• Il test o l'indagine viene condotto in buona fede al solo scopo di identificare falle o vulnerabilità nella sicurezza, prestando attenzione a non causare alcun danno alle persone o a noi
• Qualsiasi informazione derivante da tali attività viene utilizzata principalmente per migliorare la sicurezza dei nostri prodotti o degli utenti

Tuttavia, anche se lo scopo di tali attività è quello di verificare falle o vulnerabilità nella sicurezza, sono vietate le seguenti attività:

• Qualsiasi verifica equivalente ad attacchi DoS o DDoS, o qualsiasi altra attività che interrompa l'accesso o danneggi sistemi o dati
• Test fisici quali ingresso non autorizzato nei nostri uffici o locali, tailgating, ingegneria sociale o qualsiasi altro test di vulnerabilità non tecnico
• Tentativi di accedere o modificare account o informazioni diversi dai propri

La nostra risposta dopo aver ricevuto una segnalazione

Confermeremo la ricezione della segnalazione entro 7 giorni dalla ricezione della segnalazione relativa a una vulnerabilità dei nostri prodotti, software o servizi cloud. In alcuni casi, un rappresentante della società di vendita Brother della tua zona potrebbe contattarti in merito alla segnalazione. Per facilitare questa comunicazione, potremmo condividere le informazioni personali fornite al contatto per la segnalazione delle vulnerabilità Brother PSIRT con la società di vendita Brother. Si prega di consultare la nostra politica sulla privacy per informazioni su come gestiamo le informazioni personali.

Le informazioni fornite saranno gestite dal PSIRT di Brother, che esaminerà il problema in collaborazione con il nostro reparto di sviluppo. Una volta verificata l'esistenza della vulnerabilità nel nostro prodotto, ti ricontatteremo all'indirizzo e-mail che ci hai fornito.

Se la vulnerabilità segnalata viene confermata come un nuovo problema che interessa i nostri prodotti, software o servizi cloud, i reparti competenti determineranno in modo completo la politica e il calendario di risposta, e procederanno con le misure appropriate.

Una volta risolta la vulnerabilità segnalata, ci coordineremo con l'autore della segnalazione e le parti interessate per fissare una data per la pubblicazione di un avviso di sicurezza, garantendo che i nostri clienti possano adottare misure adeguate. Non appena avremo completato la preparazione per la divulgazione pubblica, pubblicheremo l'avviso di sicurezza sul nostro sito web.

Bug bounty

Non offriamo un programma di bug bounty a pagamento, indipendentemente dal contenuto della segnalazione.