ONTDEKKING EN OPENBAARMAKING VAN KWETSBAARHEDEN

ONTDEKKING EN OPENBAARMAKING VAN KWETSBAARHEDEN

Beleid voor het ontdekken en openbaar maken van kwetsbaarheden

Versie 1.4- oktober 2023

 

Inleiding

Sylvania beschouwt de veiligheid, privacy en beveiliging van onze klanten als een van haar topprioriteiten.
Wij ontwerpen en maken producten en diensten met de best mogelijke kwaliteit en betrouwbaarheid.
Ondanks onze inspanningen om de best mogelijke veiligheidsmaatregelen te implementeren, kunnen er nog steeds kwetsbaarheden aanwezig zijn in onze producten en diensten.

Dit document beschrijft het beleid van Sylvania voor het ontvangen van meldingen met betrekking tot mogelijke zwakke plekken in de beveiliging van haar producten en diensten, de procedures van het bedrijf voor het afhandelen van een melding en de standaardpraktijk van het bedrijf met betrekking tot het informeren van klanten over geverifieerde zwakke plekken.

Iedereen wordt aangemoedigd om ontdekte kwetsbaarheden te melden, ongeacht het type dienst of product.
Onderzoekers, partners, klanten of andere bronnen zijn welkom om gevonden kwetsbaarheden te melden.

Toepassingsgebied

Dit beleid is van toepassing op de volgende systemen en services:

Opmerking voor onderzoekers: Alle diensten die hierboven niet uitdrukkelijk worden vermeld, vallen buiten het toepassingsgebied en zijn niet toegestaan voor testen.

Richtlijnen

We verzoeken u:

  • Breng Feilo Sylvania eerst en zo snel mogelijk op de hoogte nadat u een echt of potentieel beveiligingsprobleem hebt ontdekt.
  • Er alles aan doen om privacyschendingen, aantasting van systeemprestaties, aantasting van gebruikerservaringen, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
  • Gebruik exploits alleen in de mate die nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen.
  • Gebruik een exploit niet om gegevens te compromitteren of te extraheren, om opdrachtregeltoegang en/of persistentie te verkrijgen of om de exploit te gebruiken om naar andere systemen te “pivotten”.
  • Zodra u hebt vastgesteld dat er sprake is van een kwetsbaarheid of als u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of handelsgeheimen van een partij), moet u uw test stopzetten, ons onmiddellijk op de hoogte stellen en deze gegevens aan niemand anders bekendmaken.
  • Geef Feilo Sylvania redelijke tijd om het probleem op te lossen
  • Gebruik geen tests voor Network Denial of Service (DoS of DDoS) of andere tests die de toegang tot een systeem of gegevens belemmeren of beschadigen.

Als deze richtlijnen worden gevolgd, zullen er geen juridische stappen worden ondernomen tegen personen die een kwetsbaarheid ontdekken en rapporteren.

Een kwetsbaarheid melden

De voorkeursmethode om contact op te nemen met Feilo Sylvania over een echte of potentiële kwetsbaarheid in haar producten of diensten is door een e-mail te sturen naar:

[email protected].

Om uw melding van de kwetsbaarheid efficiënt te kunnen verwerken, verwachten we een goed geschreven rapport in het Engels met de volgende informatie:

  • Tijd en datum van ontdekking
  • Gebruikte mobiele applicatie
  • Mobiel besturingssysteem
  • Computermodel en details van besturingssysteem
  • Modelnummer apparaat en bijbehorende MAC/UUID-adressen
  • Productmodel en -nummer, indien mogelijk met gebruik van de verkopersnomenclatuur
  • URL, browserinformatie inclusief type en versie en invoer die nodig is om de kwetsbaarheid te reproduceren;
  • Technische beschrijving – geef zo gedetailleerd mogelijk aan welke acties werden uitgevoerd en wat het resultaat was, inclusief schermafbeeldingen,
  • Voorbeeldcode – indien mogelijk, geef code die tijdens het testen werd gebruikt om de kwetsbaarheid te creëren;
  • Contactgegevens van Reporting’s party – de beste contactgegevens
  • Openbaarmakingsplan(nen) – huidig plan om openbaar te maken;
  • Beoordeling van bedreigingen/risico’s en ernstgraad – bevat details van de geïdentificeerde bedreigingen en/of risico’s inclusief een risiconiveau (klein, groot, kritiek)
  • Relevante informatie over aangesloten apparaten als er zich tijdens de interactie een kwetsbaarheid voordoet.

Neem geen persoonlijke gegevens op in uw rapporten, behalve de gegevens die nodig zijn om contact met u op te nemen in overeenstemming met de GDPR.

Deelname aan dit meldingsmechanisme verleent u geen enkel recht op intellectueel eigendom van Feilo Sylvania of een derde partij.

Het rapport verwerken – Volgende stappen

Zodra Feilo Sylvania jouw melding heeft ontvangen, zal Feilo Sylvania proberen binnen zeven dagen de ontvangst van alle ingediende meldingen te bevestigen.

Uw melding wordt verwerkt in ons systeem voor het traceren van problemen.
De ernstgraad van de melding zal in overweging worden genomen en naar eigen goeddunken van Feilo Sylvania een ernstgraad krijgen en een geschikt teamlid zal contact met u opnemen voor de follow-up.

Om de vertrouwelijkheid te waarborgen, raden we u aan om gevoelige informatie die u via e-mail naar ons stuurt te coderen.
Feilo Sylvania zal zorgen voor een open dialoog om problemen te bespreken en u op de hoogte houden van elke fase van het onderzoek.

Feilo Sylvania heeft de volledige discretie om te bepalen of een melding wordt geaccepteerd op basis van de ernst of inhoud van de melding.

Feilo Sylvania dankt u voor uw hulp bij het identificeren van een kwetsbaarheid, voor het verbeteren van onze producten en diensten en voor uw bijdrage aan een veiligere gemeenschap.

Alle aspecten van dit proces kunnen zonder voorafgaande kennisgeving worden gewijzigd, evenals uitzonderingen.
Er wordt geen bepaald responsniveau gegarandeerd voor een specifieke kwestie of groep van kwesties.

Let op: er is geen financiële beloning voor een gemelde kwetsbaarheid.