Haavoittuvuuksien paljastamispolitiikka
Jos uskot löytäneesi STRONG-tuotteeseen tai -palveluun liittyvän tietoturva-aukon, lähetä raporttisi meille.
From: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Austria
Julkaistu huhtikuussa 2024
Sisältö
- Johdanto
- Raportointi
- Mitä odottaa
- Ohjaus
- Lainsäädäntö
Johdanto
Tämä haavoittuvuuksien paljastamiskäytäntö koskee kaikkia haavoittuvuuksia, joista aiot ilmoittaa STRONGille. Suosittelemme, että luet tämän haavoittuvuuksien paljastamiskäytännön kokonaan ennen haavoittuvuuden ilmoittamista ja toimit aina sen mukaisesti.
Arvostamme niitä, jotka käyttävät aikaa ja vaivaa ilmoittaakseen tietoturva-aukoista tämän käytännön mukaisesti. Emme kuitenkaan tarjoa rahallisia palkkioita haavoittuvuuksien paljastamisesta.
Raportointi
Jos uskot löytäneesi tietoturva-aukon, lähetä raporttisi meille käyttämällä seuraavaa yhteydenottolomaketta ja valitsemalla "Tietoturvaloukkaus"-luokka: *****(lien formulaire de contact)*****
Mitä odottaa
Kun olet lähettänyt raporttisi, vastaamme siihen 5 työpäivän kuluessa ja pyrimme käsittelemään raporttisi 10 työpäivän kuluessa. Pyrimme myös pitämään sinut ajan tasalla edistymisestämme.
Korjaamisen tärkeysjärjestys arvioidaan tarkastelemalla vaikutusta, vakavuutta ja hyväksikäytön monimutkaisuutta. Haavoittuvuusraporttien käsittelyyn tai korjaamiseen saattaa kulua jonkin aikaa, ja joissakin tapauksissa korjaaminen voi kestää jopa 90 päivää tai kauemmin. Voit tiedustella tilannetta, mutta älä tee sitä useammin kuin 14 päivän välein. Näin tiimimme voivat keskittyä korjaamiseen.
Ilmoitamme sinulle, kun raportoitu haavoittuvuus on korjattu, ja sinua saatetaan pyytää vahvistamaan, että ratkaisu kattaa haavoittuvuuden asianmukaisesti.
Kun haavoittuvuus on ratkaistu, otamme mielellämme vastaan pyyntöjä raporttisi julkistamisesta. Haluaisimme yhtenäistää asianomaisten käyttäjien ohjeistusta, joten koordinoi julkista julkaisemista kanssamme.
Ohjaus
Et saa:
- rikkoa sovellettavia lakeja tai asetuksia
- käyttää tarpeettomia, liiallisia tai merkittäviä määriä tietoja
- muuttaa STRONGin järjestelmissä tai palveluissa olevia tietoja.
- käyttää erittäin intensiivisiä invasiivisia tai tuhoisia skannausvälineitä haavoittuvuuksien löytämiseksi.
- yritetään tai ilmoitetaan kaikenlaisesta palvelunestosta, esimerkiksi palvelun ylikuormittamisesta suurella määrällä pyyntöjä.
- häiritä STRONGin palveluja tai järjestelmiä
- toimittamaan raportteja, joissa on yksityiskohtaisia tietoja haavoittuvuuksista, joita ei voida hyödyntää, tai raportteja, jotka osoittavat, että palvelut eivät ole täysin "parhaiden käytäntöjen" mukaisia, esimerkiksi puuttuvat tietoturvaotsikot.
- välittää haavoittuvuuksia tai niihin liittyviä yksityiskohtia muilla kuin tässä käytännössään kuvatuilla tavoilla.
- sosiaalinen manipulointi, "phishing" tai fyysinen hyökkäys organisaation henkilöstöä tai infrastruktuuria vastaan.
- vaatia rahallista korvausta haavoittuvuuksien paljastamisesta.
Sinun täytyy:
- noudattaa aina tietosuojasääntöjä eikä saa loukata STRONGin käyttäjien, henkilöstön, alihankkijoiden, palvelujen tai järjestelmien yksityisyyttä. Et saa esimerkiksi jakaa, jakaa uudelleen tai jättää asianmukaisesti suojaamatta järjestelmistä tai palveluista haettuja tietoja.
- poistat turvallisesti kaikki tutkimuksesi aikana saadut tiedot heti, kun niitä ei enää tarvita, tai kuukauden kuluessa haavoittuvuuden korjaamisesta, sen mukaan, kumpi tapahtuu ensin (tai jos tietosuojalainsäädäntö sitä muutoin edellyttää).
Lainsäädäntö
Tämä politiikka on suunniteltu siten, että se on yhteensopiva haavoittuvuuksien paljastamista koskevien yleisten hyvien käytäntöjen kanssa. Se ei anna lupaa toimia tavalla, joka on ristiriidassa lain kanssa tai joka saattaa aiheuttaa sen, että organisaatio tai kumppanuusorganisaatiot rikkovat lakisääteisiä velvoitteita.
Jos kolmas osapuoli kuitenkin aloittaa oikeustoimet sinua vastaan ja olet noudattanut tätä käytäntöä, voimme ryhtyä toimiin, jotta tiedämme, että toimissasi on noudatettu tätä käytäntöä.
Kiitos, että autat pitämään STRONGin ja asiakkaamme turvassa!