SEBEZHETŐSÉG FELFEDEZÉSE ÉS NYILVÁNOSSÁGRA HOZATALA

SEBEZHETŐSÉG FELFEDEZÉSE ÉS NYILVÁNOSSÁGRA HOZATALA

Sebezhetőségek felfedezésére és közzétételére vonatkozó politika

1.4. verzió – 2023. október 2023

 

Bevezetés

A Sylvania úgy véli, hogy ügyfeleink biztonsága, magánéletének védelme és védelme az egyik legfontosabb prioritás.
A lehető legjobb minőségű és megbízhatóságú termékeket és szolgáltatásokat tervezzük és gyártjuk.
A lehető legjobb biztonsági intézkedések végrehajtására tett erőfeszítéseink ellenére termékeinkben és szolgáltatásainkban még mindig lehetnek sebezhetőségek.

Ez a dokumentum ismerteti a Sylvania irányelveit a termékeiben és szolgáltatásaiban található potenciális biztonsági résszel kapcsolatos bejelentések fogadására, a vállalat eljárásait a bejelentések kezelésére, valamint a vállalat általános gyakorlatát az ügyfelek igazolt biztonsági résekről való tájékoztatására vonatkozóan.

Mindenkit arra bátorítunk, hogy jelentse az azonosított sebezhetőségeket, függetlenül a szolgáltatás vagy a termék típusától.
A kutatók, partnerek, ügyfelek vagy bármely más forrás szívesen fogadják a talált sebezhetőségek bejelentését.

Terjedelem

Ez a szabályzat a következő rendszerekre és szolgáltatásokra vonatkozik:

Megjegyzés a kutatók számára: A fentiekben kifejezetten fel nem sorolt szolgáltatások nem tartoznak a hatály alá, és nem engedélyezettek a vizsgálatra.

Irányelvek

Kérjük, hogy:

  • Először és a lehető leghamarabb értesítse a Feilo Sylvania vállalatot, miután valós vagy potenciális biztonsági problémát fedezett fel.
  • Tegyen meg mindent annak érdekében, hogy elkerülje az adatvédelem megsértését, a rendszer teljesítményének romlását, a felhasználói élmény romlását, a termelési rendszerek megzavarását, valamint az adatok megsemmisítését vagy manipulálását.
  • Csak olyan mértékben használjon exploitokat, amennyire szükséges a sebezhetőség jelenlétének megerősítéséhez.
  • Ne használjon exploitot adatok kompromittálására vagy kinyerésére, parancssori hozzáférés és/vagy perzisztencia létrehozására, illetve ne használja a exploitot más rendszerekbe való “átirányításra”.
  • Amint megállapította, hogy sérülékenység áll fenn, vagy érzékeny adatokkal (beleértve a személyazonosításra alkalmas adatokat, pénzügyi információkat, vagy bármely fél tulajdonában lévő információkat vagy üzleti titkokat) találkozik, le kell állítania a tesztet, azonnal értesítenie kell minket, és nem szabad ezeket az adatokat másnak átadnia.
  • Adjon a Feilo Sylvaniának ésszerű időt a probléma megoldására.
  • Ne használjon hálózati szolgáltatásmegtagadási (DoS vagy DDoS) teszteket vagy más olyan teszteket, amelyek akadályozzák a rendszerhez vagy adatokhoz való hozzáférést vagy károsítják azokat.

Ha ezeket az irányelveket betartják, nem kerül sor jogi lépések megtételére a sebezhetőséget felfedező és bejelentő személyekkel szemben.

Sebezhetőség bejelentése

A Feilo Sylvania termékeiben vagy szolgáltatásaiban található valós vagy potenciális sebezhetőséggel kapcsolatos kapcsolatfelvételre a következő e-mail címen van lehetőség:

[email protected].

Annak érdekében, hogy a sérülékenységről szóló bejelentését hatékonyan feldolgozhassuk, jól megírt, angol nyelvű jelentést várunk, amely a következő információkat tartalmazza:

  • A felfedezés időpontja és dátuma
  • A használt mobilalkalmazás
  • Mobil operációs rendszer
  • Számítógép-modell és az operációs rendszer részletei
  • A készülék modellszáma és a hozzá tartozó MAC/UUID címek
  • Termékmodell és -szám a szállítói nómenklatúra felhasználásával, ha lehetséges
  • URL-cím, böngészőinformációk, beleértve a böngésző típusát és verzióját, valamint a sebezhetőség reprodukálásához szükséges bemeneti adatokat;
  • Műszaki leírás – adja meg, hogy milyen műveleteket hajtottak végre, és az eredményt a lehető legrészletesebben, beleértve a képernyőképeket is,
  • Minta kód – ha lehetséges, adja meg a tesztelés során a sebezhetőség létrehozásához használt kódot;
  • Reporting’s party Contact Information – a legjobb elérhetőségek
  • Közzétételi terv(ek) – a közzétételre vonatkozó jelenlegi terv;
  • Fenyegetés/kockázat értékelése és súlyossági besorolása – tartalmazza az azonosított fenyegetések és/vagy kockázatok részleteit, beleértve a kockázati szintet (kisebb, nagyobb, kritikus).
  • Releváns információk a csatlakoztatott eszközökről, ha az interakció során sérülékenység merül fel.

Kérjük, hogy ne tartalmazzon személyes adatokat a jelentéseiben, kivéve, ha az a GDPR-nak való megfelelésnek megfelelően szükséges az Önnel való kapcsolatfelvételhez.

A jelentési mechanizmusban való részvétel nem biztosít Önnek semmilyen jogot a Feilo Sylvania vagy bármely harmadik fél tulajdonában lévő szellemi tulajdonra.

A jelentés feldolgozása – Következő lépések

Amint a Feilo Sylvania megkapja a bejelentést, a Feilo Sylvania hét napon belül igyekszik visszaigazolni minden benyújtott bejelentés kézhezvételét.

Az Ön jelentése bekerül a problémakövető rendszerünkbe.
A jelentés súlyossági besorolását a Feilo Sylvania saját belátása szerint vesszük figyelembe, és a csapat egy megfelelő tagja felveszi Önnel a kapcsolatot a nyomon követés érdekében.

A titoktartás biztosítása érdekében javasoljuk, hogy titkosítva küldjön nekünk minden bizalmas információt, amelyet e-mailben küld nekünk.
A Feilo Sylvania biztosítja a nyílt párbeszédet a problémák megvitatása érdekében, és tájékoztatja Önt a vizsgálat minden egyes szakaszáról.

A Feilo Sylvania teljes mérlegelési jogkörrel rendelkezik annak eldöntésében, hogy elfogadja-e a bejelentést a jelentés súlyossági szintje vagy tartalma alapján.

A Feilo Sylvania köszöni a sebezhetőség azonosításában nyújtott segítségét, termékeink és szolgáltatásaink javítását, valamint a biztonságosabb közösséghez való hozzájárulását.

A folyamat minden szempontja előzetes értesítés nélkül változhat, és esetenként kivételek is előfordulhatnak.
Egy adott kérdés vagy kérdéscsoport esetében nem garantálható a válaszadás meghatározott szintje.

Ne feledje, hogy a bejelentett sebezhetőségekért nem jár anyagi jutalom.