การสนับสนุน ความปลอดภัย

นโยบายการเปิดเผยช่องโหว่ของ Brother (PSIRT)

 

 

นโยบายนี้อธิบายวิธีการที่ลูกค้าและนักวิจัยด้านความปลอดภัยสามารถรายงานช่องโหว่ต่อ Brother ("บราเดอร์", "เรา", "พวกเรา" "หรือของเรา") และฝ่ายซัพพอร์ตได้

ขอบเขตการรายงานช่องโหว่

ช่องโหว่ที่เกี่ยวข้องกับผลิตภัณฑ์ ซอฟต์แวร์ และบริการคลาวด์ของเราอยู่ภายใต้รายงานช่องโหว่ตามนโยบายนี้

เราไม่รับรายงานดังต่อไปนี้:

• ผลิตภัณฑ์ที่ไม่รองรับ (อยู่ในช่วงทดลอง, สิ้นสุดอายุการใช้งาน)
• ช่องโหว่ที่ไม่สามารถทำซ้ำได้
• การเปิดเผยช่องโหว่
• ช่องโหว่ที่ไม่สามารถหาประโยชน์ได้
• ช่องโหว่เชิงปริมาตร/การปฏิเสธช่องโหว่การบริการ (เช่น การบริการของเราจำนวนมาก)
• จุดอ่อนของการกำหนดค่า TLS (เช่น การสนับสนุนชุดการเข้ารหัส "อ่อนแอ" หรือการมีอยู่ของการสนับสนุน TLS 1.0, sweet32, BEAST, เป็นต้น)
• การโจมตีทางวิศวกรรมสังคม
• จุดบกพร่องด้านความปลอดภัยในเว็บไซต์ของบุคคลที่สามที่มีผลิตภัณฑ์เกี่ยวข้อง
• รายงานระบุว่าผลิตภัณฑ์ไม่สอดคล้องกับ "แนวทางปฏิบัติที่ดีที่สุด" อย่างสมบูรณ์ เช่น ส่วนหัวด้านความปลอดภัยหายไป

การรายงานช่องโหว่

โปรดใช้แบบฟอร์มรายงานบนเว็บไซต์ของเราตามลิงก์ด้านล่างนี้เพื่อรายงานช่องโหว่ที่เกี่ยวข้องกับผลิตภัณฑ์ ซอฟต์แวร์ และบริการคลาวด์ของเรา
รายงานช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นกับ Brother (PSIRT) (เฉพาะภาษาอังกฤษเท่านั้น)

หากต้องการกลั่นกรองและจัดลำดับความสำคัญของรายงานคุณ โปรดระบุข้อมูลต่อไปนี้:

• ชื่อผลิตภัณฑ์ เวอร์ชันซอฟต์แวร์ และฟังก์ชันการทำงาน/โปรโตคอลเครือข่ายที่พบช่องโหว่
• ผลกระทบที่อาจเกิดขึ้นหากมีการใช้ประโยชน์จากช่องโหว่
• คำอธิบายโดยละเอียดของขั้นตอนในการสร้างช่องโหว่

Brother (PSIRT) คือช่องทางในการติดต่อสำหรับการสอบถามเกี่ยวกับช่องโหว่ของผลิตภัณฑ์ โปรดทราบว่าเราจะไม่ตอบคำถามที่ไม่เกี่ยวข้องกับช่องโหว่
สำหรับการสอบถามที่ไม่เกี่ยวข้องกับช่องโหว่ โปรดติดต่อฝ่ายบริการลูกค้าทางโทรศัพท์ของ Brother ในพื้นที่ของคุณหรือตัวแทนจำหน่ายที่คุณซื้อผลิตภัณฑ์ โปรดดูเว็บไซต์ของ Brother สำหรับข้อมูลการติดต่อ

เราไม่มีเจตนาที่จะดำเนินการทางกฎหมายกับนักวิจัยด้านความปลอดภัยที่พยายามตรวจสอบข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ ซอฟต์แวร์ หรือบริการคลาวด์ของเรา ตราบใดที่เป็นไปตามเงื่อนไขต่อไปนี้

• การทดสอบหรือการดำเนินการเป็นไปโดยสุจริตใจเพื่อจุดประสงค์เดียวในการระบุข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัย โดยระมัดระวังเพื่อหลีกเลี่ยงการก่อให้เกิดอันตรายต่อบุคคลหรือเรา
• ข้อมูลใดๆ ที่ได้มาจากกิจกรรมดังกล่าวจะใช้เพื่อปรับปรุงความปลอดภัยผลิตภัณฑ์หรือผู้ใช้เป็นหลักของเรา

อย่างไรก็ตาม แม้ว่าวัตถุประสงค์ของกิจกรรมดังกล่าวคือการตรวจสอบข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัย แต่กิจกรรมดังต่อไปนี้ถือเป็นข้อห้าม

• การตรวจสอบใดๆ ที่เทียบเท่ากับการโจมตีแบบ DoS หรือ DDoS หรือกิจกรรมอื่นๆ ที่ขัดขวางการเข้าถึงหรือสร้างความเสียหายให้กับระบบหรือข้อมูล
• การทดสอบทางกายภาพ เช่น การเข้าไปในสำนักงานหรือสถานที่ของเราโดยไม่ได้รับอนุญาต การเข้าพื้นที่หวงห้าม การหลอกล่อ หรือการทดสอบความเสี่ยงที่ไม่ใช่เชิงเทคนิคอื่นๆ
• ความพยายามในการเข้าถึงหรือเปลี่ยนแปลงบัญชีหรือข้อมูลอื่นนอกเหนือจากของคุณเอง

การตอบกลับของเราหลังจากได้รับรายงาน

เราจะตอบรับรายงานภายใน 7 วันหลังจากที่ได้รับรายงานเกี่ยวกับช่องโหว่ผลิตภัณฑ์ ซอฟต์แวร์ และบริการคลาวด์ของเรา ในบางกรณี ตัวแทนจากบริษัทบราเดอร์ในสาขาภูมิภาคอาจติดต่อคุณเกี่ยวกับรายงานนี้ เพื่ออำนวยความสะดวกในการสื่อสาร เราอาจจะให้ข้อมูลส่วนตัวของคุณที่คุณได้ให้ไว้กับ Brother (PSIPT) ในการติดต่อกลับ โปรดดู นโยบายความเป็นส่วนตัวของเรา สำหรับข้อมูลเกี่ยวกับวิธีที่เราจัดการกับข้อมูลส่วนบุคคล

ข้อมูลที่คุณรายงานจะถูกจัดการโดย Brother PSIRT ซึ่งจะตรวจสอบปัญหาโดยร่วมมือกับฝ่ายพัฒนาของเรา เมื่อเรายืนยันแล้วว่าผลิตภัณฑ์ของเรามีช่องโหว่หรือไม่ เราจะติดต่อคุณอีกครั้งโดยใช้ที่อยู่อีเมลที่คุณให้ไว้

หากได้รับการยืนยันว่าช่องโหว่ที่รายงานนั้นเป็นปัญหาใหม่ที่ส่งผลต่อผลิตภัณฑ์ ซอฟต์แวร์ หรือบริการคลาวด์ของเรา แผนกที่เกี่ยวข้องจะกำหนดนโยบายและกำหนดเวลาการตอบสนองอย่างครอบคลุม และดำเนินการตามมาตรการที่เหมาะสม

เมื่อช่องโหว่ที่รายงานได้รับการแก้ไข เราจะประสานงานกับที่ผู้รายงานและฝ่ายที่เกี่ยวข้องเพื่อกำหนดวันที่เผยแพร่คำแนะนำด้านความปลอดภัย เพื่อให้มั่นใจว่าลูกค้าของเราสามารถใช้มาตรการที่เหมาะสม ทันทีที่เราเตรียมการเปิดเผยต่อสาธารณะเสร็จสิ้น เราจะเผยแพร่คำแนะนำด้านความปลอดภัยบนเว็บไซต์ของเรา

รางวัลสำหรับการแจ้งข้อบกพร่อง

เราจะไม่เสนอจ่ายรางวัลใดๆ เกี่ยวกับนโยบายการแจ้งข้อบกพร่องนี้ ไม่ว่าเนื้อหาของรายงานนั้นจะเป็นเช่นไร