Politica di divulgazione delle vulnerabilità

1. Introduzione

La politica di divulgazione delle vulnerabilità Cleva incoraggia i ricercatori di sicurezza e il pubblico a fornire feedback e a partecipare alla ricerca e alla divulgazione responsabile delle vulnerabilità. Se ritenete di aver scoperto vulnerabilità, dati esposti o altri problemi di sicurezza, vi invitiamo a contattarci. Questa politica illustra i passaggi per la segnalazione delle vulnerabilità e chiarisce la politica di Cleva sull'identificazione e la segnalazione di potenziali vulnerabilità.

2. Definizione

• Finestra di riservatezza: Se accettiamo il vostro rapporto di vulnerabilità, il nostro obiettivo è completare il lavoro di riparazione e rilasciare il programma di riparazione entro 90 giorni dalla conferma iniziale. Se sono necessarie ulteriori informazioni per confermare la vulnerabilità, vi contatteremo. Se non riceviamo una risposta dopo 3 tentativi, possiamo chiudere il caso, ma siamo comunque lieti di continuare a ricevere segnalazioni di vulnerabilità in futuro.

• Noi: In questa politica, il termine "noi" si riferisce a Cleva e comprende il nostro marchio.

• Segnalare una vulnerabilità: segnalare le vulnerabilità a Cleva via e-mail: [email protected]

• Canale ufficiale di divulgazione: canale di comunicazione per la divulgazione delle vulnerabilità: https://www.eu.cleva.com/

3. Metodo di segnalazione delle vulnerabilità

Se scoprite problemi di sicurezza mentre testate o utilizzate i prodotti o i servizi Cleva , vi preghiamo di inviare informazioni dettagliate sulle vostre scoperte via e-mail al nostro canale di segnalazione ufficiale ([email protected]). La segnalazione tramite altri canali potrebbe causare risposte tardive o essere trascurata.

Se possibile, includere le seguenti informazioni nel rapporto sulla vulnerabilità:

• Prodotti o servizi specifici interessati, compresi i numeri di versione pertinenti.

• Informazioni dettagliate sull'impatto del problema; qualsiasi informazione che aiuti a riprodurre o diagnosticare il problema.

• Se si ritiene che la vulnerabilità sia stata divulgata pubblicamente o sia nota a terzi.

4. Il nostro impegno

Quando si lavora con noi e in base a questa politica:

1. Al momento non offriamo né partecipiamo al Permanent Vulnerability Bounty Program. Non accettiamo pagamenti di taglie, materiale promozionale o richieste di credito al di fuori del processo di rilascio degli annunci di sicurezza.

2. Confermeremo in via preliminare e forniremo un numero di tracciamento entro 5 giorni lavorativi dalla ricezione del rapporto di vulnerabilità.

3. Invieremo una conferma di accettazione della vulnerabilità entro 30 giorni dalla conferma iniziale, che includerà una scadenza suggerita per la correzione. Se non accettiamo la segnalazione, forniremo le nostre motivazioni e resteremo aperti a nuove informazioni sulla segnalazione.

Una volta confermate le vulnerabilità segnalate, i nostri ingegneri lavoreranno per sviluppare le opportune correzioni.

Se ci sono vulnerabilità che non possono essere risolte entro il termine di 90 giorni, lavoreremo con voi per estendere il periodo di riservatezza o fornire altri suggerimenti. Il tempo di risoluzione della soluzione può essere influenzato da:

• I tempi dei fornitori a monte sono diversi dai nostri.

• Se è necessario un numero significativo di modifiche architettoniche per risolvere questa vulnerabilità.

• Requisiti di verifica complessi o estesi causati da modifiche di basso livello del firmware.

Pubblichiamo autonomamente avvisi di sicurezza per fornire importanti informazioni sulla sicurezza ai nostri clienti e al pubblico. Se una delle seguenti condizioni è soddisfatta, vi invitiamo a scoprire e segnalare le vulnerabilità relative ai nostri avvisi di sicurezza o CVE (Common Vulnerabilities and Exposures):

• La vulnerabilità segnalata riguarda i prodotti Cleva attualmente supportati,

• Apportiamo modifiche al codice o alla configurazione a seguito del problema,

• Lei è il primo a segnalare questa vulnerabilità,

• La vostra ricerca è conforme alla nostra politica di divulgazione responsabile, e

• Accettate di confermare i risultati come parte del processo di reporting.

I seguenti modelli sono supportati da aggiornamenti software fino al 31 dicembre 2035:

• VBRM18AMIDR , VBRM18AMID2R, VBRM18AMID4R, VBRM18AMID8R

• AMD18, AMD18i2, AMD18P2, AMD18i4, AMD18P4, AMD18i8, AMD18P8

• AMB18, AMB18i2, AMB18P2, AMB18i4, AMB18P4, AMB18i8, AMB18P8

• AMD16, AMD16i2, AMD16P2, AMD16i4, AMD16P4

• AMB16, AMB16i2, AMB16P2, AMB16i4, AMB16P4

• AMD18B,AMD18i2B,AMD18P2B,AMD18i4B,AMD18P4B,AMD18i8B,AMD18P8B

• AMB18B,AMB18i2B,AMB18P2B,AMB18i4B,AMB18P4B,AMB18i8B,AMB18P8B

• AMD16B, AMD16i2B, AMD16P2B, AMD16i4B, AMD16P4B

• AMB16B, AMB16i2B, AMB16P2B, AMB16i4B, AMB16P4B

• AMD18C,AMD18i2C,AMD18P2C,AMD18i4C,AMD18P4C,AMD18i8C,AMD18P8C

• AMB18C,AMB18i2C,AMB18P2C,AMB18i4C,AMB18P4C,AMB18i8C,AMB18P8C

• AMD16C, AMD16i2C, AMD16P2C, AMD16i4C, AMD16P4C

• AMB16C, AMB16i2C, AMB16P2C, AMB16i4C, AMB16P4C

• AMD18D,AMD18i2D,AMD18P2D,AMD18i4D,AMD18P4D,AMD18i8D,AMD18P8D

• AMB18D,AMB18i2D,AMB18P2D,AMB18i4D,AMB18P4D,AMB18i8D,AMB18P8D

• AMD16D, AMD16i2D, AMD16P2D, AMD16i4D, AMD16P4D

• AMB16D, AMB16i2D, AMB16P2D, AMB16i4D, AMB16P4D

• AMD18E,AMD18i2E,AMD18P2E,AMD18i4E,AMD18P4E,AMD18i8E,AMD18P8E

• AMB18E,AMB18i2E,AMB18P2E,AMB18i4E,AMB18P4E,AMB18i8E,AMB18P8E

• AMD16E, AMD16i2E, AMD16P2E, AMD16i4E, AMD16P4E

• AMB16E, AMB16i2E, AMB16P2E, AMB16i4E, AMB16P4E

• AMD18F,AMD18i2F,AMD18P2F,AMD18i4F,AMD18P4F,AMD18i8F,AMD18P8F

• AMB18F,AMB18i2F,AMB18P2F,AMB18i4F,AMB18P4F,AMB18i8F,AMB18P8F

• AMD16F, AMD16i2F, AMD16P2F, AMD16i4F, AMD16P4F

• AMB16F, AMB16i2F, AMB16P2F, AMB16i4F, AMB16P4F

• AMD18G,AMD18i2G,AMD18P2G,AMD18i4G,AMD18P4G,AMD18i8G,AMD18P8G

• AMB18G,AMB18i2G,AMB18P2G,AMB18i4G,AMB18P4G,AMB18i8G,AMB18P8G

• AMD16G, AMD16i2G, AMD16P2G, AMD16i4G, AMD16P4G

• AMB16G, AMB16i2G, AMB16P2G, AMB16i4G, AMB16P4G

I modelli di cui sopra sono modelli base e sono indicati senza suffisso. I modelli base possono avere il suffisso Plus/Max/Pro/3D/3DPro/3D-Pro/Ultra/SE, che possono essere venduti in diverse regioni di vendita. I modelli contenenti "18" appartengono alla stessa serie e anche i modelli contenenti "16" rappresentano prodotti della stessa serie.

5. Le nostre aspettative

Quando si partecipa al nostro programma di divulgazione delle vulnerabilità, è necessario leggere, comprendere e accettare la nostra Politica di divulgazione delle vulnerabilità, compresi tutti i termini e le condizioni. L'osservanza di questa politica è obbligatoria.

Se non siete d'accordo con questa politica o con i suoi termini, siete pregati di interrompere la partecipazione. Non forniremo servizi correlati alle persone che non accettano i termini.

Continuando a partecipare, l'utente dichiara di comprendere e accettare pienamente tutte le politiche e i termini applicabili descritti di seguito.

1). Conformità

• L'utente è tenuto a rispettare questa politica e qualsiasi altro accordo applicabile.

• In caso di conflitto tra questa politica e altri termini, questa politica ha la precedenza.

2). Divulgazione tempestiva e responsabile

• Segnalare le vulnerabilità non appena vengono scoperte.

• Non condividere le informazioni sulla vulnerabilità con nessuno al di fuori di Cleva prima di inviare la segnalazione.

3). Trattamento dei dati sensibili

• Se durante i test accedete alle informazioni proprietarie di Cleva, ai dati dei clienti, ai dati dei dipendenti o ad altre informazioni sensibili relative all'azienda, sia intenzionalmente che involontariamente, dovete:

  • Non utilizzare, memorizzare, condividere o registrare queste informazioni in alcuna forma.

  • Documentate chiaramente tale accesso nel vostro rapporto di vulnerabilità.

4). Test responsabile

• Durante i test di sicurezza è necessario evitare:

  • Violazione della privacy degli utenti.

  • Interruzione dei sistemi di produzione.

  • Degrado dell'esperienza dell'utente.

  • Causare perdite o violazioni di dati.

• In particolare, non dovete:

  • Eseguire test distruttivi (come il Denial of Service).

  • Accedere o alterare dati non autorizzati.

  • Attaccare il personale, i beni, i centri dati, i partner o gli affiliati di Cleva .

  • Utilizzare l'ingegneria sociale o travisare la propria identità o autorità.

  • Violare le leggi o gli accordi vigenti per scoprire le scappatoie.

  • Condurre ricerche su prodotti/servizi al di fuori del loro ciclo di vita supportato per la sicurezza.

5). Rendicontazione e licenze

• Presentare tutti i rapporti sulla sicurezza esclusivamente attraverso il processo ufficiale di segnalazione delle vulnerabilità di Cleva.

• Inviando una segnalazione, l'utente concede a Cleva una licenza mondiale, perpetua, esente da royalty e non esclusiva per l'utilizzo della segnalazione per migliorare i nostri prodotti e servizi.

6. La riservatezza

• Non divulgate pubblicamente alcuna vulnerabilità finché Cleva non avrà risolto il problema e pubblicato un bollettino di sicurezza ufficiale.

• È necessario ottenere l'autorizzazione scritta di Cleva prima di condividere all'esterno i dati sulla vulnerabilità.

7. Accesso ai dati e protezione degli utenti

• Se una vulnerabilità consente l'accesso ai dati, limitate l'accesso strettamente a quanto necessario per la verifica.

• Se si incontrano dati sensibili (come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dettagli di pagamento o informazioni proprietarie), interrompere immediatamente il test e segnalare l'incidente a Cleva.

• Interagire solo con gli account di prova di cui si è proprietari o per i quali si dispone di un'autorizzazione esplicita da parte del titolare dell'account.