Beleid inzake het melden van kwetsbaarheden

1. Inleiding

Het beleid Cleva inzake het melden Cleva moedigt beveiligingsonderzoekers en het publiek aan om feedback te geven en deel te nemen aan verantwoord onderzoek naar en melding van kwetsbaarheden. Als u denkt dat u kwetsbaarheden, blootgestelde gegevens of andere beveiligingsproblemen hebt ontdekt, nodigen wij u uit om contact met ons op te nemen. Dit beleid beschrijft de stappen voor het melden van kwetsbaarheden aan ons en licht het beleid Cleva toe met betrekking tot het identificeren en melden van mogelijke kwetsbaarheden.

2. Definitie

• Vertrouwelijkheidsperiode: Als we uw kwetsbaarheidsrapport accepteren, streven we ernaar om de reparatiewerkzaamheden binnen 90 dagen na de eerste bevestiging te voltooien en het reparatieprogramma vrij te geven. Als er aanvullende informatie nodig is om de kwetsbaarheid te bevestigen, nemen we contact met u op. Als we na drie pogingen geen reactie hebben ontvangen, kunnen we de zaak sluiten, maar we blijven kwetsbaarheidsrapporten in de toekomst graag ontvangen.

• Wij: In dit beleid verwijst 'wij' naar Cleva omvat het ons merk.

• Een kwetsbaarheid melden: meld kwetsbaarheden aan Cleva e-mail: cleva

• Officieel kanaal voor openbaarmaking: communicatiekanaal voor het melden van kwetsbaarheden: cleva

3. Methode voor het melden van kwetsbaarheden

Als u tijdens het testen of gebruiken Cleva of -diensten beveiligingsproblemen ontdekt, stuur dan gedetailleerde informatie over uw bevindingen per e-mail naar ons officiële meldingskanaal (cleva). Meldingen via andere kanalen kunnen leiden tot vertraagde reacties of verwaarlozing.

Vermeld indien mogelijk de volgende informatie in het kwetsbaarheidsrapport:

• Specifieke producten of diensten waarop dit van invloed is, inclusief relevante versienummers.

• Gedetailleerde informatie over de impact van het probleem; alle informatie die helpt om het probleem te reproduceren of te diagnosticeren.

• Als u van mening bent dat de kwetsbaarheid openbaar is gemaakt of bekend is bij een derde partij.

4. Onze toewijding

Wanneer u met ons samenwerkt en volgens dit beleid:

1. We bieden momenteel geen Permanent Vulnerability Bounty Program aan en nemen hier ook niet aan deel. We accepteren geen premiebetalingen, promotiemateriaal of kredietverzoeken buiten het proces voor het publiceren van beveiligingsmededelingen om.

2. We zullen uw kwetsbaarheidsrapport binnen 5 werkdagen na ontvangst voorlopig bevestigen en u een trackingnummer verstrekken.

3. We sturen binnen 30 dagen na de eerste bevestiging een bevestiging van acceptatie van de kwetsbaarheid, met daarin een voorgestelde deadline voor het oplossen ervan. Als we het rapport niet accepteren, geven we onze redenen daarvoor en blijven we openstaan voor nieuwe informatie over het rapport.

Zodra de gemelde kwetsbaarheden zijn bevestigd, zullen onze technici werken aan het ontwikkelen van passende oplossingen.

Als er kwetsbaarheden zijn die niet binnen de termijn van 90 dagen kunnen worden opgelost, zullen we samen met u de vertrouwelijkheidsperiode verlengen of andere suggesties doen. De tijd die nodig is om de oplossing te vinden, kan worden beïnvloed door:

• Het tijdsbestek van upstream-leveranciers verschilt van dat van ons.

• Als er een aanzienlijk aantal architecturale wijzigingen nodig zijn om deze kwetsbaarheid aan te pakken.

• Complexe of uitgebreide verificatievereisten als gevolg van kleine wijzigingen in de firmware.

Wij geven zelfstandig veiligheidsadviezen uit om onze klanten en het publiek belangrijke beveiligingsinformatie te verstrekken. Als aan een van de volgende voorwaarden wordt voldaan, raden wij u aan kwetsbaarheden met betrekking tot onze veiligheidsadviezen of CVE's (Common Vulnerabilities and Exposures) op te sporen en te melden:

• De gemelde kwetsbaarheid heeft invloed op momenteel ondersteunde Cleva .

• We brengen wijzigingen aan in de code of configuratie als gevolg van het probleem.

• U bent de eerste die deze kwetsbaarheid meldt.

• Uw onderzoek voldoet aan ons beleid inzake verantwoorde openbaarmaking, en

• U stemt ermee in om de bevindingen te bevestigen als onderdeel van het rapportageproces.

De volgende modellen worden tot 31 december 2035 ondersteund door software-updates:

• VBRM18AMIDR, VBRM18AMID2R, VBRM18AMID4R, VBRM18AMID8R

• AMD18, AMD18i2, AMD18P2, AMD18i4, AMD18P4, AMD18i8, AMD18P8

• AMB18, AMB18i2, AMB18P2, AMB18i4, AMB18P4, AMB18i8, AMB18P8

• AMD16, AMD16i2, AMD16P2, AMD16i4, AMD16P4

• AMB16, AMB16i2, AMB16P2, AMB16i4, AMB16P4

• AMD18B, AMD18i2B, AMD18P2B, AMD18i4B, AMD18P4B, AMD18i8B, AMD18P8B

• AMB18B, AMB18i2B, AMB18P2B, AMB18i4B, AMB18P4B, AMB18i8B, AMB18P8B

• AMD16B, AMD16i2B, AMD16P2B, AMD16i4B, AMD16P4B

• AMB16B, AMB16i2B, AMB16P2B, AMB16i4B, AMB16P4B

• AMD18C, AMD18i2C, AMD18P2C, AMD18i4C, AMD18P4C, AMD18i8C, AMD18P8C

• AMB18C, AMB18i2C, AMB18P2C, AMB18i4C, AMB18P4C, AMB18i8C, AMB18P8C

• AMD16C, AMD16i2C, AMD16P2C, AMD16i4C, AMD16P4C

• AMB16C, AMB16i2C, AMB16P2C, AMB16i4C, AMB16P4C

• AMD18D, AMD18i2D, AMD18P2D, AMD18i4D, AMD18P4D, AMD18i8D, AMD18P8D

• AMB18D, AMB18i2D, AMB18P2D, AMB18i4D, AMB18P4D, AMB18i8D, AMB18P8D

• AMD16D, AMD16i2D, AMD16P2D, AMD16i4D, AMD16P4D

• AMB16D, AMB16i2D, AMB16P2D, AMB16i4D, AMB16P4D

• AMD18E, AMD18i2E, AMD18P2E, AMD18i4E, AMD18P4E, AMD18i8E, AMD18P8E

• AMB18E, AMB18i2E, AMB18P2E, AMB18i4E, AMB18P4E, AMB18i8E, AMB18P8E

• AMD16E, AMD16i2E, AMD16P2E, AMD16i4E, AMD16P4E

• AMB16E, AMB16i2E, AMB16P2E, AMB16i4E, AMB16P4E

• AMD18F, AMD18i2F, AMD18P2F, AMD18i4F, AMD18P4F, AMD18i8F, AMD18P8F

• AMB18F, AMB18i2F, AMB18P2F, AMB18i4F, AMB18P4F, AMB18i8F, AMB18P8F

• AMD16F, AMD16i2F, AMD16P2F, AMD16i4F, AMD16P4F

• AMB16F, AMB16i2F, AMB16P2F, AMB16i4F, AMB16P4F

• AMD18G, AMD18i2G, AMD18P2G, AMD18i4G, AMD18P4G, AMD18i8G, AMD18P8G

• AMB18G, AMB18i2G, AMB18P2G, AMB18i4G, AMB18P4G, AMB18i8G, AMB18P8G

• AMD16G, AMD16i2G, AMD16P2G, AMD16i4G, AMD16P4G

• AMB16G, AMB16i2G, AMB16P2G, AMB16i4G, AMB16P4G

De bovenstaande modellen zijn basismodellen en worden zonder achtervoegsel weergegeven. Basismodellen kunnen het achtervoegsel Plus/Max/Pro/3D/3DPro/3D-Pro/Ultra/SE hebben, die in verschillende verkoopregio's kunnen worden verkocht. Modellen met "18" behoren tot dezelfde serie en modellen met "16" vertegenwoordigen ook producten van dezelfde serie.

5. Onze verwachtingen

Wanneer u deelneemt aan ons programma voor het melden van kwetsbaarheden, moet u ons beleid inzake het melden van kwetsbaarheden, inclusief alle voorwaarden, lezen, begrijpen en ermee akkoord gaan. Naleving van dit beleid is verplicht.

Als u niet akkoord gaat met het beleid of de voorwaarden ervan, verzoeken wij u uw deelname te staken. Wij zullen geen gerelateerde diensten verlenen aan personen die de voorwaarden niet accepteren.

Door deel te blijven nemen, erkent u dat u alle toepasselijke beleidsregels en voorwaarden die hieronder worden uiteengezet volledig begrijpt en accepteert.

1). Naleving

• U moet zich houden aan dit beleid en alle andere toepasselijke overeenkomsten.

• In geval van tegenstrijdigheid tussen dit beleid en andere voorwaarden, prevaleert dit beleid.

2). Tijdige en verantwoordelijke openbaarmaking

• Meld kwetsbaarheden zodra ze worden ontdekt.

• Deel geen informatie over kwetsbaarheden met personen buiten Cleva u uw rapport hebt ingediend.

3). Omgang met gevoelige gegevens

• Als u tijdens het testen toegang krijgt tot vertrouwelijke informatie Cleva, klantgegevens, werknemersgegevens of andere gevoelige bedrijfsgerelateerde informatie, opzettelijk of onopzettelijk, moet u:

  • Deze informatie niet gebruiken, opslaan, delen of vastleggen in welke vorm dan ook.

  • Documenteer dergelijke toegang duidelijk in uw kwetsbaarheidsrapport.

4). Verantwoord testen

• Tijdens beveiligingstests moet u het volgende vermijden:

  • Schending van de privacy van gebruikers.

  • Productiesystemen onderbreken.

  • Verslechtering van de gebruikerservaring.

  • Het veroorzaken van gegevensverlies of -inbreuk.

• Concreet mag u niet:

  • Voer destructieve tests uit (zoals Denial of Service).

  • Toegang krijgen tot of wijzigingen aanbrengen in ongeautoriseerde gegevens.

  • Val Cleva , activa, datacenters, partners of gelieerde ondernemingen aan.

  • Gebruik social engineering of geef een verkeerde voorstelling van uw identiteit of autoriteit.

  • Schend geen toepasselijke wetten of overeenkomsten om mazen in de wet te ontdekken.

  • Onderzoek doen naar producten/diensten buiten hun ondersteunde beveiligingslevenscyclus.

5). Rapportage en licenties

• Dien alle beveiligingsrapporten uitsluitend in via het officiële proces voor het melden van kwetsbaarheden Cleva.

• Door een rapport in te dienen, verleent u Cleva wereldwijde, eeuwigdurende, royaltyvrije, niet-exclusieve licentie om uw inzending te gebruiken om onze producten en diensten te verbeteren.

6. Vertrouwelijkheid

• Maak geen kwetsbaarheid openbaar voordat Cleva het probleem Cleva opgelost en een officieel beveiligingsbulletin heeft gepubliceerd.

• U moet schriftelijke toestemming van Cleva verkrijgen Cleva u details over kwetsbaarheden extern deelt.

7. Toegang tot gegevens en bescherming van gebruikers

• Als een kwetsbaarheid toegang tot gegevens mogelijk maakt, beperk dan de toegang strikt tot wat nodig is voor verificatie.

• Als u gevoelige gegevens tegenkomt (zoals persoonlijk identificeerbare informatie (PII), persoonlijke gezondheidsinformatie (PHI), betalingsgegevens of vertrouwelijke informatie), stop dan onmiddellijk met testen en meld het incident aan Cleva.

• Communiceer alleen met testaccounts waarvan u de eigenaar bent of waarvoor u uitdrukkelijke toestemming hebt van de accounthouder.