Bezpieczeństwo - wsparcie

Polityka ujawniania luk w zabezpieczeniach Brother PSIRT

 

 

Niniejsza polityka opisuje sposób zgłaszania, przez klientów i badaczy bezpieczeństwa, luk w zabezpieczeniach firmie Brother ("Brother", "my," "nas" lub nasz) i naszemu wsparciu.

Zakres raportu o podatnościach

Luki w zabezpieczeniach naszych produktów, oprogramowania i usług w chmurze podlegają raportowi o lukach w zabezpieczeniach zgodnie z niniejszą Polityką.

Nie przyjmujemy zgłoszeń w następujących przypadkach:

• Produkty nieobsługiwane (wersje próbne, produkty po zakończeniu wsparcia technicznego)
• Luki w zabezpieczeniach niemożliwe do odtworzenia
• Ujawnione luki w zabezpieczeniach
• Luki w zabezpieczeniach, których nie można wykorzystać
• Luki wolumetryczne/DoS (tj. po prostu przytłaczające naszą usługę dużą liczbą żądań)
• Słabości konfiguracji TLS (np. „słaba” obsługa zestawu szyfrów lub obecność obsługi TLS 1.0, Sweet32, BEAST itp.)
• Ataki socjotechniczne
• Błędy bezpieczeństwa w witrynach internetowych stron trzecich integrujących się z Produktami
• Raporty wskazujące, że Produkty nie są w pełni zgodne z „najlepszymi praktykami”, takimi jak brakujące nagłówki zabezpieczeń

Zgłaszanie luki

Aby zgłosić lukę w zabezpieczeniach naszych produktów, oprogramowania i usług w chmurze, skorzystaj z formularza zgłoszenia znajdującego się na naszej stronie internetowej, pod linkiem poniżej.
Zgłoś potencjalną lukę w zabezpieczeniach do Brother PSIRT (tylko w języku angielskim)

W celu dokonania selekcji i nadania priorytetu raportowi, podaj następujące informacje:

• Nazwa produktu, wersja oprogramowania i funkcjonalność/protokół sieciowy, w przypadku którego wykryto luki
• Potencjalny wpływ wykorzystania luk w zabezpieczeniach
• Szczegółowy opis kroków prowadzących do odtworzenia luki

Brother PSIRT to punkt kontaktowy, w którym można uzyskać zapytania dotyczące luk w zabezpieczeniach produktów. Należy pamiętać, że możemy nie być w stanie odpowiedzieć na zapytania niezwiązane z lukami w zabezpieczeniach.
W przypadku pytań niezwiązanych z lukami w zabezpieczeniach prosimy o kontakt z lokalnym centrum obsługi telefonicznej firmy Brother lub sprzedawcą, u którego zakupiono produkt. Informacje kontaktowe można znaleźć na stronie internetowej firmy Brother.

Nie mamy zamiaru podejmować kroków prawnych przeciwko badaczom bezpieczeństwa usiłującym zweryfikować luki lub podatności zabezpieczeń w naszych produktach, oprogramowaniu czy usługach chmurowych, pod warunkiem, że spełnione zostaną następujące przesłanki:

• Testowanie lub weryfikacja odbywa się w dobrej wierze, a jej wyłącznym celem jest identyfikacja wad lub podatności zabezpieczeń, przy dołożeniu wszelkich starań, aby uniknąć szkody osobom fizyczynym lub naszej organizacji
• Wszelkie informacje pochodzące z tego typu działań są wykorzystywane przede wszystkim w celu poprawy bezpieczeństwa naszych produktów oraz ich użytkowników

Jednakże, nawet jeśli takie dzaiałania mają na celu jedynie sprawdzenie wad zabezpieczeń lub podatności, następujące czynności są niedozwolone:

• Wszelkie metody weryfikacji tożsame z atakami DoS lub DDos, a także inne działania zakłócające dostęp do systemów lub danych albo skutkujące ich uszkodzeniem
• Testy fizyczyne, takie jak nieuprawniony wstęp do naszych biur lub obiektów, wchodzenie za innymi osobami (tzw. tailgating), socjotechnika lub wszelkie inne nietechniczne metody testowania podatności
• Próby uzyskania dostępu do kont lub danych innych niż własne, lu dokonywanie w nich zmian

Nasza odpowiedź po otrzymaniu zgłoszenia

W ciągu 7 dni od jego otrzymania potwierdzimy odbiór zgłoszenia dotyczącego luki w zabezpieczeniach naszych produktów, oprogramowania lub usług w chmurze. W niektórych przypadkach przedstawiciel oddziału sprzedaży Brother w Twoim regionie może skontaktować się z Tobą w sprawie raportu. Aby ułatwić tę komunikację, możemy udostępnić dane osobowe, które przekazałeś osobie kontaktowej ds. zgłaszania luk w zabezpieczeniach Brother PSIRT, oddziałowi sprzedaży Brother. Zapoznaj się z naszą polityką prywatności, aby uzyskać informacje o tym, jak postępujemy z danymi osobowymi.

Przekazane informacje będą przetwarzane przez Brother PSIRT. Podmiot ten przeanalizuje problem we współpracy z naszym działem rozwoju. Po zweryfikowaniu, czy w naszym produkcie istnieje wskazana podatność, skontaktujemy się z Tobą ponownie na podany przez Ciebie adres e-mail.

W przypadku potwierdzenia, że zgłoszona podatność stanowi nowy problem dotyczący naszego produktu, oprogramowania lub usługi w chmurze, właściwe działy w sposób kompleksowy określą politykę postępowania oraz harmonogram, a następnie podejmą stostowne kroki.

Kiedy zgłoszona luka zostanie usunięta, skontaktujemy się ze zgłaszającym i odpowiednimi stronami, aby ustalić datę publikacji poradnika dotyczącego bezpieczeństwa, zapewniając naszym klientom możliwość podjęcia odpowiednich działań. Po zakończeniu przygotowań do publicznego ujawnienia, opublikujemy niniejszy poradnik bezpieczeństwa na naszej stronie internetowej.

Nagroda za błąd

Nie oferujemy płatnego programu nagród za błędy, niezależnie od treści zgłoszenia.