Güvenlik desteği

Brother PSIRT Güvenlik Açığı Açıklama Politikası

 

 

Bu politika, müşterilerin ve güvenlik araştırmacılarının güvenlik açıklarını Brother'a (“Brother”, “biz”, “bize” veya “bizim”) ve desteğimize nasıl bildirdiklerini açıklamaktadır.

Güvenlik açığı raporunun kapsamı

Ürünlerimiz, yazılımımız ve bulut hizmetlerimizle ilgili güvenlik açığı, bu Politika uyarınca güvenlik açığı raporuna tabidir.

Aşağıdaki durumlara ilişkin raporlar kabul edilemez:

• Desteklenmeyen ürünler (deneme sürümleri, destek ömrü sonu ürünleri)
• Tekrarlanamayan güvenlik açıkları
• Açıklanan güvenlik açıkları
• İstismar edilemeyen güvenlik açıkları
• Hacimsel/Hizmet Reddi güvenlik açıkları (ör. yüksek hacimli isteklerle hizmetimizi aşırı doldurmak)
• TLS yapılandırmasındaki zayıflıklar (ör. "zayıf" şifre paketi desteği veya TLS 1.0 desteğinin varlığı, tatlı32, BEAST vb.)
• Sosyal Mühendislik Saldırıları
• Ürünlerle entegre olan üçüncü taraf web sitelerindeki Güvenlik Hataları
• Ürünlerin, eksik güvenlik başlıkları gibi "en iyi uygulamalarla" tam olarak uyumlu olmadığını belirten raporlar

Bir güvenlik açığını bildirme

Ürünlerimiz, yazılımımız ve bulut hizmetlerimizle ilgili güvenlik açığını bildirmek için lütfen aşağıdaki bağlantıda bulunan web sitemizdeki rapor formunu kullanın.
Olası bir güvenlik açığını Brother PSIRT'e bildirin (yalnızca İngilizce)

Raporunuzu önceliklendirmek ve önceliklendirilebilmesi için lütfen aşağıdaki bilgileri sağlayın:

• Güvenlik açıklarının keşfedildiği ürün adı, yazılım sürümü ve işlevsellik/ağ protokolü
• Güvenlik açıklarından yararlanılması durumunda olası etki
• Güvenlik açığını yeniden oluşturmaya yönelik adımların ayrıntılı açıklaması

Brother PSIRT, üründeki güvenlik açıklarıyla ilgili sorularınız için iletişim noktasıdır. Güvenlik açıklarıyla ilgili olmayan sorulara yanıt veremeyebileceğimizi lütfen unutmayın.
Güvenlik açıklarıyla ilgili olmayan sorularınız için lütfen yerel Brother çağrı merkezinizle veya ürünü satın aldığınız satıcıyla iletişime geçin. İletişim bilgileri için lütfen Brother'ın web sitesine bakın.

Ürünlerimizde, yazılımlarımızda veya bulut hizmetlerimizde güvenlik açıklarını ya da zafiyetleri doğrulamaya çalışan güvenlik araştırmacılarına karşı yasal işlem başlatma niyetimiz yoktur. Ancak bunun için aşağıdaki koşulların karşılanması gerekmektedir:

• Test veya inceleme, yalnızca güvenlik açıklarını veya zafiyetleri tespit etme amacıyla iyi niyetle yürütülmeli ve bireylere ya da bize herhangi bir zarar verilmemesi için azami özen gösterilmelidir
• Bu tür faaliyetlerden elde edilen tüm bilgiler, esas olarak ürünlerimizin veya kullanıcılarının güvenliğini ve emniyetini artırmak amacıyla kullanılmalıdır

Ancak, bu tür faaliyetlerin amacı güvenlik açıklarını doğrulamak olsa dahi, aşağıdaki eylemler yasaktır:

• DoS veya DDoS saldırılarına eşdeğer testler ya da erişimi engelleyen veya sistemlere ya da verilere zarar veren diğer tüm faaliyetler
• Ofislerimize veya tesislerimize izinsiz fiziksel giriş, personeli takip etme (tailgating), sosyal mühendislik veya diğer teknik olmayan zafiyet testleri
• Kendi hesabınız dışındaki hesaplara veya bilgilere erişim sağlama ya da bunları değiştirme girişimleri

Raporu aldıktan sonra karşı cevabımız

Ürünlerimiz, yazılımımız veya bulut hizmetlerimizdeki bir güvenlik açığına ilişkin bir rapor aldıktan sonra 7 gün içinde raporun alındığını onaylayacağız. Bazı durumlarda bölgenizdeki Brother satış şirketinin bir temsilcisi raporla ilgili olarak sizinle iletişime geçebilir. Bu iletişimi kolaylaştırmak için Brother PSIRT Güvenlik Açığı Raporlama İrtibat Kişisine sağladığınız kişisel bilgileri Brother satış şirketiyle paylaşabiliriz. Kişisel bilgileri nasıl işlediğimize ilişkin bilgi için lütfen gizlilik politikamızı inceleyin.

Tarafınıza ait bildirimler Brother PSIRT tarafından yönetilecek ve ilgili geliştirme departmanımızla iş birliği içinde incelenecektir. Ürünümüzde bildirilen zafiyetin varlığı doğrulandığında, sağladığınız e-posta adresi üzerinden sizinle yeniden iletişime geçilecektir.

Bildirilen zafiyetin ürünlerimizi, yazılımlarımızı veya bulut hizmetlerimizi etkileyen yeni bir sorun olduğu doğrulanırsa, ilgili departmanlar kapsamlı bir şekilde yanıt politikasını ve zaman planını belirleyecek, uygun önlemler alınacaktır.

Bildirilen güvenlik açığı çözüldüğünde, müşterilerimizin uygun önlemleri alabilmesini sağlamak amacıyla bir güvenlik tavsiyesinin yayınlanması için bir tarih belirlemek üzere raporlayan kişi ve ilgili taraflarla koordinasyon sağlayacağız. Kamuya açıklama hazırlıklarını tamamladığımızda güvenlik tavsiyesini web sitemizde yayınlayacağız.

Hata ödülü

Raporun içeriği ne olursa olsun, ücretli bir hata ödül programı sunmuyoruz.