HAAVOITTUVUUKSIEN LÖYTÄMINEN JA PALJASTAMINEN
HAAVOITTUVUUKSIEN LÖYTÄMINEN JA PALJASTAMINEN
Haavoittuvuuksien havaitsemista ja paljastamista koskeva politiikka
Versio 1.4- Lokakuu 2023
Johdanto
Sylvania pitää asiakkaiden turvallisuutta, yksityisyyttä ja suojaa yhtenä tärkeimmistä tavoitteistaan.
Suunnittelemme ja valmistamme tuotteita ja palveluja, joiden laatu ja luotettavuus ovat parhaita mahdollisia.
Vaikka pyrimme toteuttamaan parhaat mahdolliset turvatoimet, tuotteissamme ja palveluissamme voi silti olla haavoittuvuuksia.
Tässä asiakirjassa kuvataan Sylvanian käytäntö, jonka mukaan yhtiö vastaanottaa raportteja, jotka liittyvät sen tuotteiden ja palvelujen mahdollisiin tietoturva-aukkoihin, yhtiön menettelyt raportin käsittelyssä ja yhtiön vakiokäytäntö, joka koskee asiakkaille tiedottamista todennetuista tietoturva-aukoista.
Kaikkia kannustetaan ilmoittamaan havaituista haavoittuvuuksista palvelun tai tuotteen tyypistä riippumatta.
Tutkijat, yhteistyökumppanit, asiakkaat tai muut tahot ovat tervetulleita ilmoittamaan löydetyistä haavoittuvuuksista.
Laajuus
Tätä käytäntöä sovelletaan seuraaviin järjestelmiin ja palveluihin:
- sylvania-group.com
- https://comnet.sylvania-lighting.com
- SylSmart Energy(energy.sylvania-lighting.com)
- SylSmart Home -mobiilisovellus
- SylSmart Standalone-mobiilisovellus
- SylSmart Connected -mobiilisovellus ja verkkosovellus(https://connected.sylvania-lighting.com/).
- SylSmart Connected Pro(https://connectedpro.sylvania-lighting.com)
- Ratkaisu Sylvania mobiilisovellus
- SylSmart City -verkkosovellus (city.sylvania-lighting.com / city.sylvania-latam.com).
- SylSmart City -mobiilisovellus
Huomautus tutkijoille: Kaikki palvelut, joita ei ole nimenomaisesti lueteltu edellä, eivät kuulu soveltamisalan piiriin, eikä niitä saa testata.
Suuntaviivat
Pyydämme teitä:
- Ilmoita Feilo Sylvanialle ensin ja mahdollisimman pian todellisen tai mahdollisen tietoturvaongelman havaitsemisen jälkeen.
- pyrittävä kaikin tavoin välttämään yksityisyyden suojan loukkauksia, järjestelmän suorituskyvyn heikkenemistä, käyttäjäkokemuksen heikkenemistä, tuotantojärjestelmien häiriöitä ja tietojen tuhoamista tai manipulointia.
- Käytä hyväksikäyttöjä vain siinä määrin kuin on tarpeen haavoittuvuuden olemassaolon vahvistamiseksi.
- Älä käytä hyväksikäyttöä tietojen vaarantamiseen tai poimimiseen, komentoriviyhteyden ja/tai pysyvyyden luomiseen tai käytä hyväksikäyttöä muihin järjestelmiin siirtymiseen.
- Kun olet havainnut haavoittuvuuden tai törmäät arkaluontoisiin tietoihin (mukaan lukien henkilötiedot, taloudelliset tiedot, omistusoikeuden alaiset tiedot tai minkä tahansa osapuolen liikesalaisuudet), sinun on keskeytettävä testisi, ilmoitettava siitä välittömästi meille, äläkä paljasta näitä tietoja kenellekään muulle.
- Anna Feilo Sylvanialle kohtuullinen aika ongelman ratkaisemiseksi.
- Älä käytä DoS- tai DDoS-testejä (Network Denial of Service) tai muita testejä, jotka haittaavat pääsyä järjestelmään tai tietoihin tai vahingoittavat niitä.
Jos näitä ohjeita noudatetaan, haavoittuvuuden havaitsevia ja siitä ilmoittavia henkilöitä vastaan ei ryhdytä oikeudellisiin toimiin.
Haavoittuvuudesta ilmoittaminen
Suositeltava tapa ottaa yhteyttä Feilo Sylvaniaan sen tuotteisiin tai palveluihin liittyvän todellisen tai mahdollisen haavoittuvuuden osalta on lähettää sähköpostia osoitteeseen:
Jotta voimme käsitellä haavoittuvuusilmoituksenne tehokkaasti, odotamme hyvin kirjoitettua englanninkielistä raporttia, joka sisältää seuraavat tiedot:
- Löytöaika ja -päivä
- Käytössä oleva mobiilisovellus
- Mobiilikäyttöjärjestelmä
- Tietokoneen malli ja käyttöjärjestelmän tiedot
- Laitteen mallinumero ja siihen liittyvät MAC/UUID-osoitteet
- Tuotteen malli ja numero käyttäen myyjän nimikkeistöä, jos mahdollista.
- URL-osoite, selaimen tiedot, mukaan lukien tyyppi ja versio, sekä haavoittuvuuden toistamiseen tarvittava syöttötieto;
- Tekninen kuvaus – ilmoita mahdollisimman yksityiskohtaisesti, mitä toimia suoritettiin ja mikä oli tulos, mukaan lukien kuvakaappaukset,
- Esimerkkikoodi – jos mahdollista, anna koodi, jota käytettiin testauksessa haavoittuvuuden luomiseksi;
- Reporting’s party Yhteystiedot – parhaat yhteystiedot
- Julkistamissuunnitelma(t) – nykyinen suunnitelma julkistamisesta;
- Uhkien/riskien arviointi ja vakavuusluokitus – sisältää yksityiskohtaiset tiedot tunnistetuista uhkista ja/tai riskeistä, mukaan lukien riskitaso (vähäinen, merkittävä, kriittinen).
- Asiaankuuluvat tiedot liitetyistä laitteista, jos vuorovaikutuksen aikana ilmenee haavoittuvuus.
Älä sisällytä raportteihisi henkilötietoja lukuun ottamatta niitä, jotka ovat tarpeen yhteydenottojen ottamiseksi sinuun GDPR:n mukaisesti.
Osallistuminen tähän raportointimekanismiin ei anna sinulle mitään oikeuksia Feilo Sylvanian tai kolmannen osapuolen omistamaan immateriaalioikeuteen.
Raportin käsittely – Seuraavat vaiheet
Kun Feilo Sylvania on vastaanottanut ilmoituksesi, Feilo Sylvania pyrkii vahvistamaan kaikkien toimitettujen ilmoitusten vastaanottamisen seitsemän päivän kuluessa.
Raporttisi käsitellään ongelmanseurantajärjestelmässämme.
Raportin vakavuusluokitus otetaan huomioon ja sille annetaan vakavuusluokitus Feilo Sylvanian oman harkinnan mukaan, ja tiimin asianmukainen jäsen ottaa sinuun yhteyttä jatkotoimia varten.
Luottamuksellisuuden varmistamiseksi kehotamme sinua salaamaan kaikki arkaluonteiset tiedot, jotka lähetät meille sähköpostitse.
Feilo Sylvania huolehtii avoimesta vuoropuhelusta ongelmien käsittelemiseksi ja pitää sinut ajan tasalla tutkimuksen jokaisessa vaiheessa.
Feilo Sylvanialla on täysi harkintavalta päättää, hyväksytäänkö raportti sen vakavuuden tai sisällön perusteella.
Feilo Sylvania kiittää sinua avusta haavoittuvuuden tunnistamisessa, tuotteidemme ja palveluidemme parantamisesta ja turvallisemman yhteisön edistämisestä.
Kaikkia tämän prosessin näkökohtia voidaan muuttaa ilman ennakkoilmoitusta, samoin kuin tapauskohtaisia poikkeuksia.
Mitään tiettyä vastaustasoa ei voida taata minkään tietyn asian tai asiaryhmän osalta.
Huomaa, että mistään ilmoitetusta haavoittuvuudesta ei makseta rahallista palkkiota.