Niniejsza polityka określa jasne wytyczne dotyczące procesu współpracy między firmą Socomec a każdą inną osobą fizyczną lub prawną, w tym badaczami bezpieczeństwa, którzy mogą zgłosić lukę w zabezpieczeniach znalezioną w produktach Socomec.

Polityka ta opisuje kanał komunikacji udostępniony do zgłaszania luk w zabezpieczeniach, naszą procedurę obsługi otrzymanych zgłoszeń (w tym czas przetwarzania, w którym badacz jest proszony o nieujawnianie luki stronom trzecim) oraz wszystkie etapy współpracy od pierwszego kontaktu do wdrożenia poprawki.

Socomec ceni sobie tę współpracę i dokłada wszelkich starań, aby skutecznie i terminowo obsługiwać otrzymane zgłoszenia. Zachęcamy wszystkich do kontaktowania się z nami i zgłaszania potencjalnych luk w naszych produktach, co pozwoli nam zapewnić środki naprawcze, które służą bezpieczeństwu naszych użytkowników i ogółu społeczeństwa.

Socomec nie oferuje nagród za błędy, ale nasza polityka ujawniania luk w zabezpieczeniach (VDP) obejmuje ścianę sławy, za pośrednictwem której będziemy otwarcie informować o Twoim wkładzie w identyfikację i poprawianie luk w zabezpieczeniach naszych produktów, jeśli sobie tego życzysz.

 

Zakres

Polityka ujawniania luk dotyczy każdej osoby lub podmiotu, w szczególności badaczy bezpieczeństwa, i obejmuje wszystkie luki w odniesieniu do wszystkich produktów, aplikacji i usług Socomec, a także wszystkich stron internetowych Socomec.

 

Wytyczne

Podczas zgłaszania luk w zabezpieczeniach należy przestrzegać następujących wytycznych.

Ujawnienie luk w zabezpieczeniach naszych produktów na forum publicznym może mieć poważne konsekwencje i zaszkodzić interesom Socomec. Zastrzegamy sobie wszelkie prawa do wszczęcia postępowania sądowego przeciwko każdej osobie fizycznej i/lub prawnej, która wyrządziłaby szkodę firmie Socomec, pomijając i/lub naruszając poniższe wytyczne.

Do

  • Poinformuj Socomec tak szybko, jak to możliwe po wykryciu rzeczywistego lub potencjalnego błędu bezpieczeństwa;
  • Opisz lokalizację odkrytej luki i jej potencjalny wpływ;
  • Oferuj szczegółowy opis kroków potrzebnych do odtworzenia luki (pomocne są skrypty lub zrzuty ekranu);
  • Napisz raport w języku angielskim;.
  • Dołożyć wszelkich starań, aby uniknąć naruszenia prywatności, pogorszenia doświadczenia użytkownika, zakłócenia systemów produkcyjnych oraz zniszczenia lub manipulacji danymi;
  • Używać exploitów tylko w zakresie niezbędnym do potwierdzenia obecności luki. Nie używaj exploitów do naruszania bezpieczeństwa lub eksfiltracji danych, ustanawiania stałego dostępu do wiersza poleceń lub używania exploitów do przechodzenia do innych systemów;
  • Zgódź się nie ujawniać publicznie zgłoszonej luki w zabezpieczeniach, dopóki nie zostanie wydana poprawka lub środek łagodzący i nie otrzymasz zgody Socomec.

.

Don't

  • Przesyłanie dużej ilości raportów niskiej jakości;
  • Żądanie rekompensaty finansowej w zamian za swoje raporty;
  • Planowanie sieciowych testów typu "odmowa usługi" (DoS lub DDoS) lub innych testów, które utrudniają dostęp do systemu lub danych lub powodują ich uszkodzenie;
  • Realizowanie testów fizycznych (np. dostępu do biura), inżynierii społecznej (np. phishingu, vishingu) lub innych nietechnicznych testów podatności.

Zgłoś lukę w zabezpieczeniach

Informacje przesłane zgodnie z niniejszą polityką będą wykorzystywane wyłącznie do celów obronnych - w celu złagodzenia lub naprawienia luk w zabezpieczeniach. Socomec nie udostępni tożsamości ani danych kontaktowych użytkownika bez jego wyraźnej zgody.

Zgłoszenia luk w zabezpieczeniach można przesyłać za pomocą tego formularza lub za pośrednictwem strony cyberalert@socomec.com. Zgłoszenia mogą być przesyłane anonimowo. W raporcie należy podać:

  • Opis luki;
  • Potencjalny wpływ luki;
  • Produkt i jego wersja, której dotyczy;
  • Szczegóły CVSS: wektor ataku, złożoność ataku, wymagane uprawnienia, interakcja użytkownika, zakres oraz wpływ na poufność, integralność i dostępność.

 

Czego możesz oczekiwać od Socomec

Po przesłaniu raportu:

  • Powiadomimy Cię o otrzymaniu raportu w ciągu 72 godzin od jego otrzymania;
  • Zrealizujemy kwalifikację podatności w ciągu 30 dni od daty otrzymania raportu. W przypadku szczególnych trudności uniemożliwiających nam dotrzymanie tego terminu, niezwłocznie poinformujemy o nowym rozsądnym i proporcjonalnym terminie zakończenia kwalifikacji;
  • Usuniemy lukę i opublikujemy poprawkę dla krytycznej i ważnej luki w ciągu 60 dni od daty kwalifikacji. W przypadku szczególnych trudności uniemożliwiających nam dotrzymanie tego terminu, niezwłocznie poinformujemy o nowym rozsądnym i proporcjonalnym terminie zakończenia tej kwalifikacji.

 

Pytania

Pytania dotyczące niniejszej polityki można przesyłać na adres cyberalert [at] socomec.com. Zachęcamy również do kontaktu z Socomec z sugestiami dotyczącymi ulepszenia niniejszej polityki.

Zgłoś incydent/podatność
Skontaktuj się z nami, aby zgłosić incydent lub lukę w zabezpieczeniach jednego z naszych produktów lub usług.
Zgłoś lukę w zabezpieczeniach
Cyberbezpieczeństwo i ochrona danych
Bezpieczeństwo Twoich danych ma dla nas kluczowe znaczenie. Dowiedz się, jak zapewniamy bezpieczne i zaufane połączenia dzięki naszej polityce cyberbezpieczeństwa.
Nasze zobowiązania w zakresie cyberbezpieczeństwa