Sikkerhetsstøtte

Brother PSIRT-policy for avsløring av sårbarhet

 

 

Denne policyen beskriver hvordan kunder og sikkerhetsforskere rapporterer sårbarheter til Brother («Brother», «vi», «oss» eller «vår») og vår support.

Omfang av sårbarhetsrapport

Sårbarhet knyttet til våre produkter, programvare og skytjenester er underlagt sårbarhetsrapporten i samsvar med disse retningslinjene.

Vi godtar ikke rapporter for følgende:

• Ikke-støttede produkter (prøveversjoner, produkter utgått på brukerstøtten)
• Sårbarheter som ikke kan reproduseres
• Avslørte sårbarheter
• Ikke-utnyttbare sårbarheter
• Volumetric/Denial of Service vulnerabilities (i.e.,. simply overwhelming our service with a high volume of requests)
• TLS-konfigurasjonssvakheter (f.eks. "svak" chifferpakkestøtte eller tilstedeværelse av TLS 1.0-støtte, sweet32, BEAST osv.)
• Social Engineering-angrep
• Sikkerhetsfeil på tredjepartsnettsteder som integreres med produktene
• Rapporter som indikerer at produktene ikke er helt i tråd med «beste praksis», for eksempel manglende sikkerhetsoverskrifter

Rapportering av en sårbarhet

Vennligst bruk rapportskjemaet på nettstedet vårt på lenken nedenfor for å rapportere sårbarhet knyttet til våre produkter, programvare og skytjenester.
Rapporter en potensiell sikkerhetssårbarhet til Brother PSIRT (kun på engelsk)

For å prøve og prioritere rapporten din, vennligst oppgi følgende informasjon:

• Produktnavn, programvareversjon og funksjonalitet/nettverksprotokoll der sårbarheter er oppdaget
• Potensiell innvirkning hvis sårbarheter utnyttes
• En detaljert beskrivelse av trinnene for å reprodusere sårbarheten

Brother PSIRT er kontaktpunktet for spørsmål angående produktsårbarheter. Vær oppmerksom på at vi kanskje ikke kan svare på henvendelser som ikke er relatert til sårbarheter.
For spørsmål som ikke er relatert til sårbarheter, vennligst kontakt ditt lokale Brother-støttesenter eller forhandleren der du kjøpte produktet. Se Brothers nettsted for kontaktdetaljer.

Vi har ikke til hensikt å iverksette rettslige skritt mot sikkerhetsforskere som forsøker å bekrefte sikkerhetsfeil eller sårbarheter i våre produkter, programvare eller skytjenester, så lenge følgende betingelser er oppfylt:

• Testingen eller undersøkelsen utføres i god tro med det ene formål å identifisere sikkerhetsfeil eller sårbarheter, med forsiktighet for å unngå å forårsake skade på enkeltpersoner eller oss
• All informasjon som utledes fra slike aktiviteter brukes primært til å forbedre sikkerheten til produktene våre eller brukerne deres

Selv om formålet med slike aktiviteter er å bekrefte sikkerhetsfeil eller sårbarheter, er følgende aktiviteter forbudt:

• Enhver verifisering tilsvarende DoS- eller DDoS-angrep, eller andre aktiviteter som forstyrrer tilgang til eller skader systemer eller data
• Fysisk testing, som for eksempel uautorisert adgang til kontorene eller lokalene våre, tailgating, sosial manipulering eller annen ikke-teknisk sårbarhetstesting
• Forsøk på å få tilgang til eller endre kontoer eller informasjon utover din egen

Vårt svar etter å ha mottatt en rapport

Vi vil bekrefte mottak av rapporten innen 7 dager etter at vi har mottatt en rapport angående en sårbarhet for våre produkter, programvare eller skytjenester. I noen tilfeller kan en representant fra Brothers salgsselskap i din region kontakte deg angående rapporten. For å lette denne kommunikasjonen, kan vi dele den personlige informasjonen du har gitt til Brother PSIRT-sårbarhetsrapporteringskontakten med Brothers salgsselskap. Se vår personvernerklæring for informasjon om hvordan vi håndterer personopplysninger.

Informasjonen du rapporterer vil bli håndtert av Brother PSIRT, som vil undersøke problemet i samarbeid med vår utviklingsavdeling. Når vi har bekreftet om sårbarheten finnes i produktet vårt, vil vi kontakte deg igjen ved hjelp av e-postadressen du oppga.

Hvis det rapporterte sårbarheten bekreftes å være et nytt problem som påvirker våre produkter, programvare eller skytjenester, vil de relevante avdelingene i sin helhet fastsette retningslinjer og tidsplan for respons, og iverksette passende tiltak.

Når den rapporterte sårbarheten er løst, vil vi koordinere med reporteren og relevante parter for å sette en dato for publisering av en sikkerhetsrådgivning, for å sikre at våre kunder kan iverksette passende tiltak. Så snart vi har fullført forberedelsene til offentliggjøring, vil vi publisere sikkerhetsrådgivningen på nettstedet vårt.

Feilsøkingspremie

Vi tilbyr ikke betalt feilsøkingspremie, uavhengig av innholdet i rapporten.