Säkerhetssupport

Brother PSIRT policy för sårbarhetsrapportering

 

 

Den här policyn beskriver hur kunder och säkerhetsforskare rapporterar sårbarheter till Brother ("Brother", "vi", "oss" eller "vår") och vår support.

Omfattning av sårbarhetsrapport

Sårbarhet relaterad till våra produkter, programvara och molntjänster är föremål för sårbarhetsrapport i enlighet med denna policy.

Vi accepterar inte rapporter för följande:

• Produkter som inte stöds (testversioner, produkter som inte längre supporteras)
• Ej reproducerbara sårbarheter
• Avslöjade sårbarheter
• Ej exploateringsbara sårbarheter
• Volumetriska/förnekande av servicesårbarheter (dvs. helt enkelt överväldigande vår tjänst med en stor mängd förfrågningar)
• Svagheter i TLS-konfiguration (t.ex. "svagt" stöd för chiffersvit eller närvaron av TLS 1.0-stöd, sweet32, BEAST, etc.)
• Social Engineering attacker
• Säkerhetsbuggar på tredje parts webbplatser som integreras med produkterna
• Rapporter som indikerar att produkterna inte helt överensstämmer med "bästa praxis" såsom saknade säkerhetsrubriker

Rapportera en sårbarhet

Använd rapportformuläret på vår webbplats på länken nedan för att rapportera sårbarhet relaterad till våra produkter, mjukvara och molntjänster.
Rapportera en potentiell sårbarhetsrisk till Brother PSIRT (endast engelska)

För att kunna sortera och prioritera din rapport ber vi dig lämna följande information:

• Produktnamn, programvaruversion och funktion/nätverksprotokoll där sårbarheter har upptäckts
• Potentiell påverkan om sårbarheter utnyttjas
• En detaljerad beskrivning av stegen för att reproducera sårbarheten

Brother PSIRT är kontaktpunkten för förfrågningar om produktsårbarheter. Observera att vi kanske inte kan svara på förfrågningar som inte är relaterade till sårbarheter.

För frågor som inte rör sårbarheter, kontakta ditt lokala Brother supportcenter eller den återförsäljare där du köpte produkten. Kontaktinformation finns på Brothers webbplats.

Vi avser inte att vidta rättsliga åtgärder mot säkerhetsforskare som försöker verifiera säkerhetsbrister eller sårbarheter i våra produkter, programvara eller molntjänster, så länge följande villkor är uppfyllda:

• Testningen eller utredningen utförs i god tro i det enda syftet att identifiera säkerhetsbrister eller sårbarheter, med försiktighet i åtanke för att undvika att skada individer eller oss
• All information som härrör från sådan verksamhet används främst för att förbättra säkerheten för våra produkter eller deras användare

Även om syftet med sådana aktiviteter är att verifiera säkerhetsbrister eller sårbarheter är följande aktiviteter förbjudna:

• All verifiering motsvarande DoS- eller DDoS-attacker, eller andra aktiviteter som stör åtkomst till eller skadar system eller data
• Fysiska tester såsom obehörigt inträde i våra kontor eller lokaler, tailgating, social engineering eller andra icke-tekniska sårbarhetstester
• Försök att komma åt eller ändra konton eller information utöver din egen

Vår respons efter att ha mottagit en rapport

Vi bekräftar mottagandet av rapporten inom 7 dagar efter att vi mottagit en rapport om en sårbarhet för våra produkter, programvara eller molntjänster. I vissa fall kan en representant från det lokala Brotherkontoret kontakta dig angående rapporten. För att underlätta denna kommunikation kan vi komma att dela den personliga information som du lämnade till Brother PSIRT kontaktinformation för sårbarhetsrapport med det lokala Brotherkontoret. Läs vår sekretesspolicy för information om hur vi hanterar personuppgifter.

Informationen du rapporterar kommer att hanteras av Brother PSIRT, som kommer att undersöka problemet i samarbete med vår utvecklingsavdelning. När vi har bekräftat om sårbarheten finns i vår produkt kommer vi att kontakta dig igen med hjälp av den e-postadress du angav.

Om det bekräftas att den rapporterade sårbarheten är ett nytt problem som påverkar våra produkter, vår programvara eller våra molntjänster, kommer berörda avdelningar att fastställa en omfattande policy och ett schema för åtgärden, och vidta lämpliga åtgärder.

När den rapporterade sårbarheten har åtgärdats kommer vi att samordna med rapportören och relevanta parter för att fastställa ett datum för publicering av ett säkerhetsråd, så att våra kunder kan vidta lämpliga åtgärder. Så snart vi har slutfört förberedelserna för offentliggörande kommer vi att publicera säkerhetsmeddelandet på vår webbplats.

Ersättning vid rapportering av buggar

Vi erbjuder inte någon betald buggpremie, oavsett innehållet i rapporten.