Поддержка и загрузка

Политика информирования специалистов Brother PSIRT об уязвимостях

 

 

В данной политике описывается, как клиенты и исследователи в области безопасности могут сообщать об уязвимостях в компанию Brother (далее "Brother", "мы", "нас" или "наш") и в нашу службу поддержки.

Тип уязвимостей для информирования

В соответствии с данной Политикой информирование об уязвимостях распространяется на уязвимости, связанные с нашей продукцией, программным обеспечением и облачными сервисами.

Мы не принимаем сообщения, касающиеся следующих случаев:

• неподдерживаемая продукция (тестовые версии, продукция с истекшим сроком поддержки);
• невоспроизводимые уязвимости;
• раскрытые уязвимости;
• неэксплуатируемые уязвимости;
• уязвимости, связанные с атаками типа Volumetric/Denial of Service (т. е. просто перегружающими наш сервис большим количеством запросов);
• недостатки конфигурации TLS (например, поддержка "слабого" набора шифров или наличие поддержки TLS 1.0, sweet32, BEAST и т. д.);
• атаки методом социальной инженерии;
• ошибки безопасности на сторонних веб-сайтах, интегрированных с Продукцией;
• сообщения о том, что Продукция не полностью соответствует "передовым стандартам", например, отсутствие заголовков безопасности.

Информирование об уязвимости

Чтобы сообщить об уязвимости, связанной с нашей продукцией, программным обеспечением и облачными сервисами, воспользуйтесь формой на нашем сайте по ссылке ниже.
Сообщить о потенциальной уязвимости в системе безопасности специалистам Brother PSIRT (только на английском языке)

Для сортировки и определения приоритетности вашего сообщения предоставьте следующую информацию:

• Название продукта, версия программного обеспечения и функции/сетевой протокол, в которых были обнаружены уязвимости.
• Потенциальные последствия использования уязвимости.
• Подробное описание шагов по выявлению уязвимости.

Команда специалистов по безопасности Brother PSIRT (Product Security Incident Response Team) является контактным лицом для запросов, касающихся уязвимостей продукции. Обратите внимание, что мы не сможем ответить на запросы, не связанные с уязвимостями.

По вопросам, не связанным с уязвимостями, обращайтесь в местный колл-центр Brother или к дилеру, у которого вы приобрели продукт. Контактную информацию см. на сайте Brother.

Наш ответ после получения отчета

Мы подтвердим получение отчета об уязвимости нашей продукции, программного обеспечения или облачных сервисов в течение 7 дней. В некоторых случаях представитель местного офиса Brother в вашем регионе может связаться с вами по поводу этого сообщения. Для упрощения коммуникации мы можем передать местному офису Brother персональные данные, которые вы предоставили команде Brother PSIRT. Ознакомьтесь с нашей политикой конфиденциальности для получения информации о том, как мы обрабатываем персональные данные.

Наш отдел разработки, ответственный за соответствующий продукт, проверит, является ли обнаруженная уязвимость новой. После подтверждения наличия уязвимости в нашем продукте мы снова свяжемся с вами, используя указанный вами адрес электронной почты.

После устранения уязвимости мы согласуем с автором сообщения и заинтересованными сторонами дату публикации информации о безопасности, чтобы наши клиенты могли принять соответствующие меры. Как только мы завершим подготовку к оглашению этой информации, мы опубликуем рекомендации по безопасности на нашем сайте.

Вознаграждение за обнаружение уязвимости

Независимо от содержания сообщения, мы не предоставляем вознаграждение за обнаружение уязвимостей.