Поддержка безопасности

Политика информирования специалистов Brother PSIRT об уязвимостях

 

 

В данной политике описывается, как клиенты и исследователи в области безопасности могут сообщать об уязвимостях в компанию Brother (далее "Brother", "мы", "нас" или "наш") и в нашу службу поддержки.

Тип уязвимостей для информирования

В соответствии с данной Политикой информирование об уязвимостях распространяется на уязвимости, связанные с нашей продукцией, программным обеспечением и облачными сервисами.

Мы не принимаем сообщения, касающиеся следующих случаев:

• неподдерживаемая продукция (тестовые версии, продукция с истекшим сроком поддержки);
• невоспроизводимые уязвимости;
• раскрытые уязвимости;
• неэксплуатируемые уязвимости;
• уязвимости, связанные с атаками типа Volumetric/Denial of Service (т. е. просто перегружающими наш сервис большим количеством запросов);
• недостатки конфигурации TLS (например, поддержка "слабого" набора шифров или наличие поддержки TLS 1.0, sweet32, BEAST и т. д.);
• атаки методом социальной инженерии;
• ошибки безопасности на сторонних веб-сайтах, интегрированных с Продукцией;
• сообщения о том, что Продукция не полностью соответствует "передовым стандартам", например, отсутствие заголовков безопасности.

Информирование об уязвимости

Чтобы сообщить об уязвимости, связанной с нашей продукцией, программным обеспечением и облачными сервисами, воспользуйтесь формой на нашем сайте по ссылке ниже.
Сообщить о потенциальной уязвимости в системе безопасности специалистам Brother PSIRT (только на английском языке)

Для сортировки и определения приоритетности вашего сообщения предоставьте следующую информацию:

• Название продукта, версия программного обеспечения и функции/сетевой протокол, в которых были обнаружены уязвимости;
• Потенциальные последствия использования уязвимости;
• Подробное описание шагов по выявлению уязвимости.

Команда специалистов по безопасности Brother PSIRT (Product Security Incident Response Team) является контактным лицом для запросов, касающихся уязвимостей продукции. Обратите внимание, что мы не сможем ответить на запросы, не связанные с уязвимостями.

По вопросам, не связанным с уязвимостями, обращайтесь в местный колл-центр Brother или к дилеру, у которого вы приобрели продукт. Контактную информацию см. на сайте Brother.

Мы не будем принимать юридические меры против исследователей безопасности, которые пытаются проверить наличие уязвимостей в безопасности наших продуктах, программном обеспечении или облачных сервисах, при соблюдении следующих условий:

• Тестирование или исследование проводится добросовестно с единственной целью выявления уязвимостей или недостатков безопасности, при этом принимаются все меры предосторожности, чтобы не нанести ущерб физическим лицам и нашей компании;
• Любая информация, полученная в результате таких действий, используется в первую очередь для повышения уровня безопасности или защищенности наших продуктов или их пользователей.

Однако, даже если целью таких действий является выявление дефектов или уязвимостей системы безопасности, следующие действия запрещены:

• Любые проверки, эквивалентные DoS- или DDoS-атакам, а также иные действия, которые нарушают доступ к системам или данным либо повреждают их;
• Физические проверки, такие как несанкционированное проникновение в наши офисы или помещения, несанкционированный проход за сотрудником, социальная инженерия или любые другие нетехнические тесты на уязвимость;
• Попытки получить доступ или изменить информацию и учетные записи, не принадлежащие вам.

Наш ответ после получения отчета

Мы подтвердим получение отчета об уязвимости нашей продукции, программного обеспечения или облачных сервисов в течение 7 дней. В некоторых случаях представитель местного офиса Brother в вашем регионе может связаться с вами по поводу этого сообщения. Для упрощения коммуникации мы можем передать местному офису Brother персональные данные, которые вы предоставили команде Brother PSIRT. Ознакомьтесь с нашей политикой конфиденциальности для получения информации о том, как мы обрабатываем персональные данные.

Полученная информация будет обработана нашей командой PSIRT, которая проведет расследование инцидента совместно с нашим отделом разработки. После того, как мы подтвердим наличие уязвимости в нашем продукте, мы свяжемся с вами по указанному адресу электронной почты.

Если будет подтверждено, что указанная уязвимость является новой и затрагивает наши продукты, программное обеспечение или облачные сервисы, соответствующие подразделения компании определят политику и сроки реагирования, после чего будут приняты надлежащие меры.

После устранения уязвимости мы согласуем с автором сообщения и заинтересованными сторонами дату публикации информации о безопасности, чтобы наши клиенты могли принять соответствующие меры. Как только мы завершим подготовку к оглашению этой информации, мы опубликуем рекомендации по безопасности на нашем сайте.

Вознаграждение за обнаружение уязвимости

Независимо от содержания сообщения, мы не предоставляем вознаграждение за обнаружение уязвимостей.