ABAX Smart Connect: Työkalujen ja koneiden seuranta ilman lisälaitteita

Lue lisää
ABAX
Hinnat

Haavoittuvuuksien ilmoittamiskäytäntö

Turvallisuus on äärimmäisen tärkeää ABAXille. Otamme mielellämme vastaan palautetta tietoturvatutkijoilta ja yleisöltä parantaaksemme tuotteidemme ja palveluidemme turvallisuutta. ABAXin johto arvostaa suuresti tutkivaa työtä tietoturva-aukkojen parissa, ja olemme sitoutuneet tutkimaan ja ratkaisemaan tietoturvaongelmat perusteellisesti.

Jos uskot löytäneesi haavoittuvuuden, tietosuojaongelman, paljastuneita tietoja tai muita tietoturvaongelmia missä tahansa tuotteissamme tai palveluissamme, haluamme kuulla sinusta.

Asiakirjan tarkoitus

Tässä asiakirjassa määritellään prosessi mahdollisten ABAXin tuotteisiin ja palveluihin liittyvien haavoittuvuuksien ilmoittamiseksi, ja siinä esitetään vaiheet haavoittuvuuksien raportoimiseksi meille, mitä odotamme sinulta, mitä voit odottaa meiltä, ja lopuksi kiitokset ihmisille, jotka ovat auttaneet turvaamaan tuotteemme ja palvelumme.

Jos uskot löytäneesi haavoittuvuuden missä tahansa tuotteissamme tai palveluissamme, ilmoita siitä tässä asiakirjassa esitettyjen ohjeiden mukaisesti.

Pyydämme, ettet julkista tai paljasta haavoittuvuuksia ennen kuin sinulle on ilmoitettu haavoittuvuuden korjaamisesta. Jos annat luvan, tunnustamme panoksesi haavoittuvuuden löytämisessä tämän asiakirjan "Kunniagalleria"-osiossa.

Yleisö

Tämä käytäntö on tarkoitettu kaikille tietoturvatutkijoille, eettisille hakkereille tai kenelle tahansa muulle, joka uskoo löytäneensä haavoittuvuuden jossakin ABAXin tuotteessa tai palvelussa.

Käytännön soveltamisala

Kaikki mahdolliset ABAX-tuotteisiin tai -palveluihin liittyvät haavoittuvuudet tai tietoturvaongelmat kuuluvat tämän käytännön soveltamisalaan. Älä paljasta haavoittuvuuksia, jotka liittyvät kolmansien osapuolten hallinnoimiin tai omistamiin järjestelmiin.

Pelinsäännöt

Tutkijat/Eettiset hakkerit eivät saa tehdä seuraavia asioita:

  • Käyttää tarpeettomia määriä tietoja. Esimerkiksi 2 tai 3 tietuetta riittää useimpien haavoittuvuuksien (kuten luettelointi- tai suoran objektiviittauksen haavoittuvuuden) osoittamiseen.

  • Loukata ABAXin käyttäjien, henkilöstön, urakoitsijoiden, järjestelmien jne. yksityisyyttä. Esimerkiksi jakamalla, uudelleenjakamalla ja/tai jättämällä asianmukaisesti suojaamatta järjestelmistämme haettuja tietoja.

  • Tiedottaa haavoittuvuuksista tai niihin liittyvistä yksityiskohdista muilla kuin tässä käytännössä kuvatuilla tavoilla tai kenellekään muulle kuin Global IT:lle.

  • Muokata tai käyttää mitään järjestelmissämme/palveluissamme olevia tietoja, jotka eivät ole omia.

  • Häiritä palveluitamme ja/tai järjestelmiämme.

  • Paljastaa ABAXin järjestelmien haavoittuvuuksia kolmansille osapuolille. Tämä ei estä haavoittuvuuden ilmoittamista kolmansille osapuolille, joille haavoittuvuus on suoraan olennainen, esimerkiksi jos ilmoitettu haavoittuvuus on ohjelmistokirjastossa tai -kehyksessä – mutta ABAXin erityisen haavoittuvuuden yksityiskohtiin ei saa viitata tällaisissa raporteissa. Jos olet epävarma sen kolmannen osapuolen asemasta, jolle haluat lähettää ilmoituksen, lähetä sähköpostia osoitteeseen [email protected] saadaksesi selvennyksen.

Tutkijoiden/Eettisten hakkereiden on tehtävä seuraavat asiat:

  • Kaikki noudetut tiedot poistetaan turvallisesti heti, kun niitä ei enää tarvita, ja viimeistään kuukauden kuluttua haavoittuvuuden ratkaisemisesta, sen mukaan kumpi tapahtuu aikaisemmin.

  • Noudata sääntöjä. Tämä sisältää tämän käytännön ja kaikkien muiden asiaankuuluvien sopimusten noudattamisen.

  • Ilmoita kaikista löytämistäsi haavoittuvuuksista viipymättä, kuukauden kuluessa haavoittuvuuden löytämisestä.

  • Käytä vain virallisia kanavia keskustellaksesi haavoittuvuustiedoista kanssamme.

  • Suorita testaus vain soveltamisalaan kuuluvissa järjestelmissä ja kunnioita järjestelmiä ja toimintoja, jotka ovat soveltamisalan ulkopuolella.

Jos olet jossain vaiheessa epävarma siitä, ovatko harkitsemasi toimet hyväksyttäviä, ota meihin yhteyttä.

Testimenetelmät:

Pyydämme, että pidättäydyt käyttämästä luvattomia testimenetelmiä. Näitä menetelmiä ovat muun muassa:

  • Palvelunestohyökkäystestit (DoS tai DDoS) tai muut testit, jotka haittaavat pääsyä järjestelmään tai tietoihin tai vahingoittavat niitä

  • Fyysinen testaus (esim. toimistoon pääsy, avoimet ovet, luvaton tunkeutuminen), sosiaalinen manipulointi (esim. tietojenkalastelu, puhelinhuijaus) tai mikä tahansa muu ei-tekninen haavoittuvuustestaus

Lainsäädäntö

Tämä valvontamenettely on suunniteltu yhteensopivaksi hyvän käytännön kanssa, jota noudatetaan hyväntahtoisessa haavoittuvuuksien löytämisessä. Se ei anna sinulle lupaa toimia millään tavalla, joka on ristiriidassa sovellettavien lakien kanssa tai saa ABAX:in rikkomaan oikeudellisia velvoitteitaan.

Jos noudatat tässä asiakirjassa esitettyjä ohjeita, emme ryhdy tai tue mitään oikeudellisia toimenpiteitä ilmoittamiisi haavoittuvuuksiin liittyen. Jos kolmas osapuoli nostaa oikeudellisia toimenpiteitä sinua vastaan ja olet noudattanut tätä käytäntöä, ryhdymme toimiin tiedottaaksemme, että toimintasi on ollut tämän käytännön mukaista.

Jos sinulla on huolenaiheita tai olet epävarma siitä, onko tietoturvatutkimuksesi tämän käytännön mukaista, tai haluat muuten antaa palautetta tai ehdotuksia tästä valvontamenettelystä, ota meihin yhteyttä osoitteeseen [email protected] ennen kuin jatkat. Tämä valvontamenettely kehittyy ajan myötä, ja panostasi arvostetaan sen varmistamiseksi, että se on selkeä, kattava ja pysyy ajankohtaisena.

Kuinka ilmoittaa haavoittuvuuksista

Jos olet löytänyt ongelman, jonka uskot olevan sovellettava tietoturva-aukko, lähetä sähköpostia osoitteeseen [email protected] seuraavilla tiedoilla:

  • järjestelmä tai palvelu, jossa haavoittuvuus on.

  • lyhyt kuvaus haavoittuvuuden luokasta (esim. "XSS-haavoittuvuus"). Vältä sisällyttämästä tässä vaiheessa mitään yksityiskohtia, jotka mahdollistaisivat ongelman toistamisen. Lisätietoja pyydetään myöhemmin salatun viestinnän kautta.

  • hyödyntämisen potentiaalinen vaikutus.

Raportit tulee kirjoittaa selkeästi ja yksinkertaisesti. Ja mieluiten englanniksi, jos mahdollista.

Pyydämme sitten raportoijia toimittamaan hyvänlaatuisen (eli tuhoamattoman) todisteen hyödyntämisestä aina kun mahdollista. Tämä auttaa varmistamaan, että raportti voidaan käsitellä nopeasti ja tarkasti samalla vähentäen toistuvien raporttien ja/tai haitallisen hyödyntämisen todennäköisyyttä joissakin haavoittuvuuksien luokissa. Varmista, ettet lähetä hyödyntämistodistusta selkokielisenä sähköpostitse, jos haavoittuvuus on edelleen hyödynnettävissä. Varmista myös, että kaikki hyödyntämistodisteet ovat ohjeistuksemme (yllä) mukaisia. Jos olet epävarma, lähetä sähköpostia osoitteeseen [email protected] saadaksesi neuvoja.

Lue tämä asiakirja kokonaisuudessaan ennen haavoittuvuuksien ilmoittamista varmistaaksesi, että ymmärrät menettelyn ja osaat toimia sen mukaisesti.

PGP-salaus

Kriittisten tietojen joutumisen vääriin käsiin estämiseksi pyydämme sinua lähettämään pyynnöstä haavoittuvuutta koskevat tiedot salatulla sähköpostilla. Pyydämme sinua laatimaan yksityiskohtaisen kuvauksen haavoittuvuuden toistamiseen tarvittavista vaiheista (proof of concept -skriptit tai kuvakaappaukset ovat hyödyllisiä).

Löydät julkisen salausavaimemme täältä www.abax.com/pgp-key.txt.

Mitä odottaa ABAX:ilta

Vastauksena alkuperäiseen sähköpostiisi osoitteeseen [email protected] saat kuittausviestin tapaustenhallintajärjestelmästä.

Alkuperäisen yhteydenoton jälkeen sisäinen tietoturvatiimi käsittelee ilmoitetun haavoittuvuuden. Voit odottaa vastausta 72 tunnin kuluessa, joka sisältää arviomme raportista ja vahvistuksen siitä, tarvitaanko lisätietoja. Kaikki tarvittavat lisätiedot pyydetään lähettämään OpenPGP-salauksen avulla (julkisemme salausavaimemme edellä mainitussa kentässä).

Tästä eteenpäin tarvittavat korjaustoimenpiteet osoitetaan asianomaisille IT-tiimeille ja/tai toimittajille. Virhekorjausten ja/tai lievennysten prioriteetti määräytyy vaikutuksen vakavuuden ja hyödyntämisen monimutkaisuuden perusteella. Haavoittuvuusraporttien käsittely ja/tai korjaaminen voi kestää jonkin aikaa. Voit tiedustella prosessin tilaa, mutta pyydämme kärsivällisyyttä.

Tietoturvatiimimme ilmoittaa sinulle, kun ilmoitettu haavoittuvuus on korjattu (tai korjaustyöt on ajoitettu), ja pyytää sinua vahvistamaan, että ratkaisu kattaa haavoittuvuuden riittävästi. Tarjoamme sinulle mahdollisuuden antaa palautetta raportointiprosessista sekä haavoittuvuuden ratkaisusta. Näitä tietoja käytetään ehdottoman luottamuksellisesti auttamaan meitä parantamaan tapaa, jolla käsittelemme raportteja ja/tai kehitämme järjestelmiä ja ratkaisemme haavoittuvuuksia.

Jos et hyväksy näitä ehtoja, älä lähetä meille mitään ilmoituksia tai muuten osallistu tähän ohjelmaan.

Kunniagalleria

Kunniagalleria on paikka, jossa kaikki ihmiset, jotka ovat auttaneet turvaamaan tuotteitamme ja palveluitamme (julkaistu heidän suostumuksellaan).

Voit saada julkista tunnustusta, jos olet ensimmäinen henkilö, joka ilmoittaa haavoittuvuudesta, haavoittuvuus on pätevä turvallisuusongelma, ja olet noudattanut näitä ohjeita.

Valitettavasti sisäisten rajoitusten vuoksi emme voi tällä hetkellä tarjota maksullista bug bounty -ohjelmaa. ABAXin johto haluaa kuitenkin esittää vilpittömän kiitoksensa niille, jotka käyttävät aikaa ja vaivaa tutkiakseen ja raportoidakseen tietoturva-aukkoja meille tämän valvontamenettelyn mukaisesti.

Kiitos vaivannäöstäsi.

Löydä kaikki, mitä sinun tarvitsee tietää kestävyydestä ja hallinnosta ABAXissa

Siirry ESG-resursseihin