Ondersteuning en downloads

Brother PSIRT-beleid inzake openbaarmaking van kwetsbaarheden

 

 

Dit beleid beschrijft hoe klanten en beveiligingsonderzoekers kwetsbaarheden melden aan Brother (“Brother”, “wij”, “ons” of “onze”) en onze ondersteuning.

Reikwijdte van het kwetsbaarheidsrapport

Kwetsbaarheden met betrekking tot onze producten, software en clouddiensten zijn onderworpen aan een kwetsbaarheidsrapportage in overeenstemming met dit beleid.

Wij accepteren geen rapporten voor het volgende:

• Niet-ondersteunde producten (proefversies, producten aan het einde van de ondersteuningslevensduur)
• Niet-reproduceerbare kwetsbaarheden
• Openbaar gemaakte kwetsbaarheden
• Niet-exploiteerbare kwetsbaarheden
• Volumetrische/Denial of Service-kwetsbaarheden (d.w.z. onze service simpelweg overweldigen met een groot aantal verzoeken)
• Zwakke punten in de TLS-configuratie (bijvoorbeeld "zwakke" ondersteuning voor cipher suite of de aanwezigheid van TLS 1.0-ondersteuning, sweet32, BEAST, enz.)
• Social-engineering-aanvallen
• Beveiligingsbugs op websites van derden die met de producten integreren
• Rapporten waaruit blijkt dat de Producten niet volledig aansluiten bij de 'best practices', zoals ontbrekende beveiligingsheaders

Een kwetsbaarheid melden

Gebruik het meldformulier op onze website via de onderstaande link om kwetsbaarheden met betrekking tot onze producten, software en clouddiensten te melden.
Een potentieel beveiligingsprobleem melden aan Brother PSIRT (alleen Engels)

Geef de volgende informatie op om uw melding te kunnen beoordelen en prioriteren:

• Productnaam, softwareversie en functionaliteit/netwerkprotocol waar kwetsbaarheden zijn ontdekt
• Potentiële impact als kwetsbaarheden worden uitgebuit
• Een gedetailleerde beschrijving van de stappen om de kwetsbaarheid te reproduceren

Brother PSIRT is het contactpunt voor vragen over productkwetsbaarheden. Houd er rekening mee dat we mogelijk niet kunnen reageren op vragen die geen verband houden met kwetsbaarheden.
Voor vragen die geen verband houden met kwetsbaarheden kunt u contact opnemen met uw plaatselijke Brother-callcenter of de dealer waar u het product hebt gekocht. Raadpleeg de website van Brother voor contactgegevens.

We zijn niet van plan juridische stappen te ondernemen tegen beveiligingsonderzoekers die beveiligingslekken of kwetsbaarheden in onze producten, software of clouddiensten proberen te verifiëren, zolang aan de volgende voorwaarden wordt voldaan:

• De tests of het onderzoek worden te goeder trouw uitgevoerd met als enig doel beveiligingslekken of kwetsbaarheden te identificeren, waarbij zorgvuldig wordt gestreefd naar het voorkomen van schade aan personen of onszelf
• Alle informatie die uit dergelijke activiteiten wordt afgeleid, wordt primair gebruikt om de beveiliging of veiligheid van onze producten of hun gebruikers te verbeteren

Zelfs als het doel van dergelijke activiteiten is om beveiligingslekken of kwetsbaarheden te verifiëren, zijn de volgende activiteiten echter verboden:

• Elke verificatie die vergelijkbaar is met DoS- of DDoS-aanvallen, of andere activiteiten die de toegang tot of schade aan systemen of gegevens verstoren
• Fysieke tests, zoals ongeautoriseerde toegang tot onze kantoren of gebouwen, tailgating, social engineering of andere niet-technische kwetsbaarheidstesten
• Pogingen om toegang te krijgen tot accounts of informatie te wijzigen die niet van uzelf zijn

Onze reactie na ontvangst van een melding

Wij bevestigen de ontvangst van het rapport binnen 7 dagen na ontvangst van een melding over een kwetsbaarheid voor onze producten, software of clouddiensten. In sommige gevallen kan een vertegenwoordiger van het Brother-verkoopbedrijf in uw regio contact met u opnemen over het rapport. Om deze communicatie te vergemakkelijken, kunnen we de persoonlijke informatie die u aan de Brother PSIRT-contactpersoon voor kwetsbaarheidsrapportage hebt verstrekt, delen met het verkoopbedrijf van Brother. Raadpleeg ons privacybeleid voor informatie over hoe wij omgaan met persoonlijke informatie.

De informatie die u meldt, wordt beheerd door Brother PSIRT, dat het probleem zal onderzoeken in samenwerking met onze ontwikkelingsafdeling. Zodra we hebben bevestigd dat de kwetsbaarheid in ons product aanwezig is, nemen we opnieuw contact met u op via het door u opgegeven e-mailadres.

Als blijkt dat de gemelde kwetsbaarheid een nieuw probleem is dat onze producten, software of clouddiensten treft, zullen de relevante afdelingen het responsbeleid en de planning uitgebreid bepalen en passende maatregelen nemen.

Wanneer de gemelde kwetsbaarheid is opgelost, zullen wij in overleg met de melder en relevante partijen een datum vaststellen voor publicatie van een beveiligingsadvies, zodat onze klanten passende maatregelen kunnen nemen. Zodra we de voorbereiding voor openbaarmaking hebben afgerond, zullen we het beveiligingsadvies op onze website publiceren.

Bug-premie

Wij bieden geen betaald bugbountyprogramma aan, ongeacht de inhoud van het rapport.