Ta politika opisuje jasne smernice za postopek sodelovanja med družbo Socomec in katero koli drugo fizično ali pravno osebo, vključno z varnostnimi raziskovalci, ki bi lahko poročali o ranljivosti, odkriti v izdelkih družbe Socomec.

Ta politika opisuje komunikacijski kanal, ki je na voljo za poročanje o ranljivostih, naš postopek obravnave prejetih poročil (vključno s časom obdelave, v katerem je raziskovalec pozvan, da ranljivosti ne razkrije tretjim osebam) in vse stopnje sodelovanja od prvega stika do namestitve popravka.

Socomec ceni to sodelovanje in si po najboljših močeh prizadeva za učinkovito in pravočasno obdelavo prejetih poročil. Vse in vsakogar spodbujamo, da se v prvi vrsti obrnejo na nas in prijavijo morebitne ranljivosti v naših izdelkih ter nam tako omogočijo, da zagotovimo popravne ukrepe, ki služijo varnosti naših uporabnikov in splošne javnosti.

Socomec ne ponuja nagrad za napake, vendar naša politika razkrivanja ranljivosti (VDP) vključuje zid slave, prek katerega bomo na vašo željo odprto poročali o vašem prispevku pri odkrivanju in popravljanju ranljivosti naših izdelkov.

 

Področje uporabe

Politika razkrivanja ranljivosti velja za vse osebe ali subjekte, zlasti za varnostne raziskovalce, in zajema vse ranljivosti v zvezi z vsemi Socomecovimi izdelki, aplikacijami in storitvami ter vsemi Socomecovimi spletnimi mesti.

 

Smernice

Pri sporočanju ranljivosti upoštevajte naslednje smernice.

Razkrivanje ranljivosti naših izdelkov v javnem prostoru ima lahko hude posledice in lahko škoduje interesom družbe Socomec. Pridržujemo si vse pravice, da sprožimo sodni postopek proti vsaki fizični in/ali pravni osebi, ki bi družbi Socomec povzročila škodo s spregledom in/ali kršitvijo naslednjih smernic.

Do

  • Po odkritju dejanske ali potencialne varnostne težave čim prej obvestite družbo Socomec;
  • Opišite lokacijo odkrite ranljivosti in njen potencialni vpliv;
  • Ponudite podroben opis korakov, potrebnih za reprodukcijo ranljivosti (v pomoč so skripte ali zaslonske slike);
  • Svoje poročilo napišite v angleščini;.
  • Vsaj si prizadevajte, da se izognete kršitvam zasebnosti, poslabšanju uporabniške izkušnje, motnjam produkcijskih sistemov ter uničenju ali manipulaciji podatkov;
  • Izkoristke uporabljajte le v obsegu, ki je potreben za potrditev prisotnosti ranljivosti. Izkoristka ne uporabljajte za ogrožanje ali iznos podatkov, vzpostavitev trajnega dostopa do ukazne vrstice ali uporabo izkoriščača za preusmeritev na druge sisteme;
  • Sklenite, da prijavljene ranljivosti ne boste javno razkrili, dokler ne bo objavljen popravek ali ublažitev in dokler ne boste prejeli dovoljenja družbe Socomec.

Don't

  • Predložite veliko število poročil nizke kakovosti;
  • V zameno za poročila zahtevajte finančno nadomestilo;
  • Naplanirate teste omrežne zavrnitve storitve (DoS ali DDoS) ali druge teste, ki poslabšajo dostop do sistema ali podatkov ali jih poškodujejo;
  • izvedete fizično testiranje (npr. dostop do pisarne), socialni inženiring (npr. phishing, vishing) ali drugo netehnično testiranje ranljivosti.

Prijava ranljivosti

Informacije, predložene v skladu s tem pravilnikom, bodo uporabljene samo v obrambne namene - za zmanjšanje ali odpravo ranljivosti. Socomec ne bo delil vaše identitete ali kontaktnih podatkov brez vašega izrecnega dovoljenja.

Svoja poročila o ranljivosti lahko oddate s tem obrazcem ali prek cyberalert@socomec.com. Poročila lahko predložite anonimno. V poročilu navedite:

  • Opis ranljivosti;
  • Potencialni vpliv ranljivosti;
  • Produkt in njegovo različico, na katero vpliva;
  • Podrobnosti CVSS: vektor napada, zahtevnost napada, potrebni privilegiji, interakcija z uporabnikom, obseg in vpliv na zaupnost, celovitost in razpoložljivost.

 

Ko lahko pričakujete od družbe Socomec

Po oddaji poročila:

  • V 72 urah od prejema poročila vas bomo obvestili, da smo ga prejeli;
  • V 30 dneh od prejema poročila bomo uresničili kvalifikacijo ranljivosti. V primeru posebnih težav, ki nam bodo preprečile, da bi izpolnili ta rok, bomo nemudoma sporočili nov razumen in sorazmeren rok za dokončanje te kvalifikacije;
  • v 60 dneh od datuma kvalifikacije bomo odpravili ranljivost in objavili popravek za kritično in pomembno ranljivost. V primeru posebnih težav, ki nam preprečujejo, da bi izpolnili ta rok, bomo nemudoma sporočili nov razumen in sorazmeren rok za dokončanje te kvalifikacije.

 

Vprašanja

Vprašanja glede te politike lahko pošljete na cyberalert@socomec.com. Prav tako vas vabimo, da se obrnete na družbo Socomec s predlogi za izboljšanje te politike.

Prijavite incident ali ranljivost
Kontaktirajte nas, če želite prijaviti incident ali ranljivost enega od naših izdelkov ali storitev.
Prijava ranljivosti
Kibernetska varnost in zaščita podatkov
Zaščita vaših podatkov je ključna za naše delo. Spoznajte, kako vam s pravilnikom za kibernetsko varnost zagotavljamo varne in zaupanja vredne povezave.
Naše zaveze na področju kibernetske varnosti