Această politică prezintă orientări clare privind procesul de colaborare dintre Socomec și orice altă persoană fizică sau juridică, inclusiv cercetătorii în domeniul securității, care ar putea raporta o vulnerabilitate descoperită în produsele Socomec.

Această politică descrie canalul de comunicare pus la dispoziție pentru raportarea vulnerabilităților, procedura noastră de tratare a rapoartelor primite (inclusiv termenele de procesare în care cercetătorul este rugat să nu divulge vulnerabilitatea către terți) și toate etapele colaborării, de la contactul inițial la implementarea patch-urilor.

Socomec apreciază această colaborare și depune toate eforturile pentru a trata rapoartele primite în mod eficient și în timp util. Încurajăm pe oricine și pe toată lumea să ne contacteze în primul rând și să raporteze potențiale vulnerabilități ale produselor noastre, permițându-ne să oferim măsuri corective care să servească securității utilizatorilor noștri și a publicului larg.

Socomec nu oferă recompense pentru bug-uri, dar politica noastră de dezvăluire a vulnerabilităților (VDP) include un zid al faimei prin care vom comunica deschis despre contribuția dumneavoastră la identificarea și corectarea vulnerabilităților produselor noastre, dacă doriți acest lucru.

 

Scop

Politica de divulgare a vulnerabilităților se aplică oricărei persoane sau entități, în special cercetătorilor în domeniul securității, și acoperă toate vulnerabilitățile în legătură cu toate produsele, aplicațiile și serviciile Socomec, precum și toate site-urile Socomec.

 

Ghiduri

Vă rugăm să respectați următoarele linii directoare atunci când raportați o vulnerabilitate.

Expunerea vulnerabilităților produselor noastre în spațiul public poate avea consecințe grave și poate dăuna intereselor Socomec. Ne rezervăm toate drepturile de a acționa în justiție orice persoană fizică și/sau juridică care ar provoca daune Socomec prin trecerea cu vederea și/sau încălcarea următoarelor orientări.

Do

  • Anunțați Socomec cât mai curând posibil după ce ați descoperit o problemă de securitate reală sau potențială;
  • Descrieți locația vulnerabilității care a fost descoperită și impactul potențial al acesteia;
  • Oferiți o descriere detaliată a pașilor necesari pentru a reproduce vulnerabilitatea (scripturile de proof of concept sau capturile de ecran sunt utile);
  • Scrieți-vă raportul în limba engleză;.
  • Faceți toate eforturile pentru a evita încălcarea confidențialității, degradarea experienței utilizatorului, perturbarea sistemelor de producție și distrugerea sau manipularea datelor;
  • Utilizați exploatările numai în măsura necesară pentru a confirma prezența unei vulnerabilități. Nu utilizați un exploit pentru a compromite sau exfiltra date, pentru a stabili un acces persistent la linia de comandă sau pentru a utiliza exploit-ul pentru a pivota către alte sisteme;
  • Acetați să nu dezvăluiți public o vulnerabilitate raportată decât după ce a fost lansat un remediu sau o atenuare și ați primit aprobarea din partea Socomec.

Don't

  • Să trimiteți un volum mare de rapoarte de calitate scăzută;
  • Solicitați o compensație financiară în schimbul rapoartelor dvs.;
  • Planificați o rețea de negare a serviciului (DoS sau DDoS) sau alte teste care împiedică accesul sau deteriorarea unui sistem sau a datelor;
  • Realizați un test fizic (de exemplu, accesul la birou), inginerie socială (de exemplu, phishing, vishing) sau orice alt test de vulnerabilitate non-tehnic.

Raportați o vulnerabilitate

Informațiile transmise în cadrul acestei politici vor fi utilizate doar în scopuri defensive - pentru a atenua sau corecta vulnerabilitățile. Socomec nu va împărtăși identitatea sau informațiile dvs. de contact fără permisiunea dvs. expresă.

Puteți trimite rapoartele dvs. privind vulnerabilitățile utilizând acest formular sau prin cyberalert@socomec.com. Rapoartele pot fi transmise anonim. În raportul dumneavoastră, vă rugăm să specificați:

  • O descriere a vulnerabilității;
  • Impactul potențial al vulnerabilității;
  • Produsul și versiunea acestuia afectate;
  • Detalii CVSS: vectorul de atac, complexitatea atacului, privilegiile necesare, interacțiunea utilizatorului, domeniul de aplicare și impactul asupra confidențialității, integrității și disponibilității.

 

Ce puteți aștepta de la Socomec

După trimiterea raportului:

  • Vă vom notifica că raportul a fost primit în termen de 72 de ore de la momentul primirii acestuia;
  • Ne vom da seama de calificarea vulnerabilității în termen de 30 de zile de la data primirii raportului. În cazul unor dificultăți specifice care ne împiedică să respectăm acest termen, vom comunica cu promptitudine un nou termen rezonabil și proporțional pentru realizarea acestei calificări;
  • Vom remedia vulnerabilitatea și vom publica remedierea pentru vulnerabilitatea critică și importantă în termen de 60 de zile de la data calificării. În cazul unor dificultăți specifice care ne împiedică să respectăm acest termen, vom comunica prompt un nou termen rezonabil și proporțional pentru finalizarea acestei calificări.

 

Întrebări

Întrebările referitoare la această politică pot fi trimise la cyberalert [at] socomec.com. De asemenea, vă invităm să contactați Socomec cu sugestii pentru îmbunătățirea acestei politici.

Raportați un incident / o vulnerabilitate
Contactați-ne pentru a raporta un incident sau o vulnerabilitate a unuia dintre produsele sau serviciile noastre.
Raportați o vulnerabilitate
Securitate cibernetică și protecția datelor
Siguranța datelor dumneavoastră este esențială în tot ceea ce facem. Descoperiți modul în care vă oferim conexiuni sigure și de încredere prin politica noastră de securitate cibernetică.
Angajamentele noastre de securitate cibernetică