Podpora a soubory ke stažení

Zásady zveřejňování informací o zranitelnostech – Brother PSIRT

 

 

Tyto zásady popisují způsob, jakým zákazníci a odborní pracovníci v oblasti bezpečnosti oznamují zranitelnosti společnosti Brother (dále jen „Brother“, „my“ nebo „náš“) a naší podpoře.

Předmět oznámení o zranitelnosti

V souladu s těmito zásadami se oznamují zranitelnosti týkající se našich produktů, softwaru a cloudových služeb.

Nepřijímáme oznámení týkající se následujícího:

• nepodporované produkty (zkušební verze, produkty s ukončenou životností)
• neopakovatelné zranitelnosti
• zveřejněné zranitelnosti
• nezneužitelné zranitelnosti
• zranitelnosti vůči volumetrickým útokům nebo útokům typu DoS (tj. prosté zahlcení naší služby velkým množstvím požadavků)
• slabiny konfigurace TLS (např. „slabá“ podpora sad šifer nebo přítomnost podpory TLS 1.0, sweet32, BEAST atd.)
• útoky s využitím sociálního inženýrství
• bezpečnostní chyby na webových stránkách třetích stran, které jsou propojeny s produkty
• zprávy o tom, že produkty nejsou plně v souladu s „osvědčenými postupy“, např. chybějící bezpečnostní hlavičky

Oznámení zranitelnosti

Pro oznámení zranitelnosti týkající se našich produktů, softwaru a cloudových služeb použijte formulář na našem webu, který je dostupný na níže uvedeném odkazu.
Oznámit týmu Brother PSIRT potenciální bezpečnostní chybu (pouze v angličtině)

Pro účely zpracování a posouzení závažnosti vašeho oznámení uveďte následující informace:

• název produktu, verzi softwaru a funkce / síťový protokol, kde byly zjištěny zranitelnosti
• potenciální dopad v případě zneužití zjištěných zranitelností
• podrobný popis kroků za účelem reprodukování příslušné zranitelnosti

Kontaktním místem pro dotazy týkající se zranitelností produktů je tým Brother PSIRT. Upozorňujeme, že neodpovídáme na dotazy, které se netýkají zranitelností.
V případě dotazů nesouvisejících se zranitelnostmi se obraťte na místní call centrum společnosti Brother nebo na prodejce, u kterého jste produkt zakoupili. Kontaktní údaje najdete na webových stránkách společnosti Brother.

Vyřízení obdrženého oznámení

Přijetí oznámení potvrdíme do 7 dnů od obdržení oznámení o zranitelnosti našich produktů, softwaru nebo cloudových služeb. V některých případech vás v souvislosti s obdrženým oznámením může kontaktovat zástupce prodejce společnosti Brother ve vašem regionu. Pro usnadnění této komunikace můžeme prodejci společnosti Brother předat osobní údaje, které jste poskytli kontaktní osobě týmu Brother PSIRT pro oznamování zranitelností, k čemuž udělujete oznámením zranitelnosti výslovný souhlas. Informace o tom, jak nakládáme s osobními údaji, najdete v našich zásadách ochrany osobních údajů.

Naše vývojové oddělení odpovědné za příslušný produkt nahlášenou zranitelnost prověří a potvrdí, zda se jedná o novou zranitelnost. Po potvrzení existence zranitelnosti v našem produktu vás budeme znovu kontaktovat prostřednictvím vámi zadané e-mailové adresy.

Po vyřešení nahlášené zranitelnosti budeme s oznamovatelem a příslušnými stranami koordinovat stanovení data zveřejnění bezpečnostního doporučení, které našim zákazníkům umožní přijmout příslušná opatření. Po dokončení přípravy oficiálního oznámení zveřejníme bezpečnostní doporučení na našich webových stránkách.

Bug bounty

Za oznámení zranitelnosti (bez ohledu na jeho obsah) nevyplácíme žádné finanční odměny, tj. nenabízíme program bug bounty s finančními odměnami.