Verantwoordelijke openbaarmaking

Doel

Dit beleid stelt het rapportage- en openbaarmakingsproces vast dat Tachyon Security volgt wanneer we beveiligingskwetsbaarheden in niet-Tachyon Security-producten en -diensten ontdekken.

Maar het specificeert ook de acties die we ondernemen wanneer iemand ons op de hoogte stelt van een kwetsbaarheid in onze systemen en diensten.

Beleid

Dit beleid moet duidelijk de tijdlijn, acties en verantwoordelijkheden vermelden die gelijkelijk beschikbaar zijn voor alle leveranciers.

Kwetsbaarheid Rapportage en Openbaarmaking voor Tachyon Security Diensten en Producten

Als u een kwetsbaarheid ontdekt, willen we daar graag van op de hoogte zijn zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. We vragen u om ons te helpen onze klanten en onze systemen beter te beschermen.

• E-mail uw bevindingen naar CISO@tachyonsecurity.eu.
• Maak geen misbruik van de kwetsbaarheid of het probleem dat u hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of te wijzigen,
• Geef het probleem niet aan anderen prijs totdat het is opgelost,
• Gebruik geen aanvallen op fysieke beveiliging, sociale engineering, gedistribueerde denial-of-service, spam of toepassingen van derden, en
• Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Gewoonlijk is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen.

Wat we beloven

• We zullen binnen 3 werkdagen op uw rapport reageren met onze evaluatie van het rapport en een verwachte datum voor oplossing,
• Als u de bovenstaande instructies heeft opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot het rapport,
• We zullen uw rapport met strikte vertrouwelijkheid behandelen en uw persoonlijke gegevens niet aan derden doorgeven zonder uw toestemming,
• We zullen u op de hoogte houden van de voortgang bij het oplossen van het probleem,
• In de openbare informatie over het gerapporteerde probleem zullen we uw naam vermelden als de ontdekker van het probleem (tenzij u anders wenst), en

We streven ernaar om alle problemen zo snel mogelijk op te lossen, en we willen een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.

Leverancier Kwetsbaarheid Rapportage en Openbaarmaking

Als er een kwetsbaarheid wordt gevonden in een product of dienst van een leverancier, zal Tachyon Security proberen de leverancier per e-mail te contacteren om de leverancier van deze ontdekking op de hoogte te stellen. Tachyon Security zal aanvankelijk proberen een veilige communicatiekanaal met de leverancier te creëren door PGP-sleutels uit te wisselen voor versleutelde e-mail. Als er met succes een veilig communicatiekanaal is gecreëerd, wordt een versleutigde kopie van het kwetsbaarheidsrapport via dat kanaal naar de leverancier gestuurd. Als er binnen zeven (7) dagen geen reactie op de poging om een veilig communicatiekanaal te creëren door Tachyon Security wordt ontvangen, wordt een beschrijving van de kwetsbaarheid per e-mail in platte tekst naar de leverancier gestuurd.

Als Tachyon Security een kwetsbaarheid ontdekt in een product of dienst van een leverancier, zal het de volgende stappen ondernemen:

In het belang van het bevorderen van gecoördineerde kwetsbaarheid openbaarmaking, zal Tachyon Security proberen samen te werken met elke leverancier aan redelijke aanpassingen aan de bovenstaande tijdlijn als er vooruitgang wordt geboekt en de standaardtijdlijn van 90 dagen niet voldoende is voor het creëren van een patch of ander type mitigatie dat de kwetsbaarheid aanpakt. Uitzonderlijke omstandigheden kunnen leiden tot aanpassingen van de openbaarmaking en tijdlijnen wanneer dit redelijkerwijs nodig is.