1. هدف السياسة

تلتزم شركة LuxpowerTek بتوفير منتجات وخدمات آمنة وموثوقة لعملائنا في جميع أنحاء العالم. ونشجع باحثي الأمن والشركاء والعملاء على الإبلاغ عن الثغرات الأمنية المحتملة من خلال ممارسات الإفصاح المسؤولة, مما يُمكّننا من معالجة المخاطر والتخفيف من حدتها على الفور.

2. عملية إعداد التقارير

لتقديم تقرير عن ثغرة أمنية، يرجى استخدام القنوات التالية:

بريد إلكتروني

security@luxpowertek.com (يوصى باستخدام تشفير PGP)

نموذج إلكتروني / بوابة أمنية

سيتم الإعلان عن تفاصيل أي بوابة أمنية مخصصة بشكل منفصل

يرجى تضمين المعلومات التالية في تقريرك:

  • طراز المنتج المتأثر وإصدار البرامج الثابتة/البرامج
  • وصف تفصيلي للثغرة الأمنية وخطوات إعادة إنتاجها (أو إثبات المفهوم)
  • تحليل الأثر المحتمل
  • معلومات الاتصال للمتابعة

نصائح:

لضمان الإفصاح المسؤول، يرجى الامتناع عن الكشف العلني عن الثغرة الأمنية حتى يتم إصدار إصلاح رسمي.

3. نطاق اختبار الأمان وحدود الامتثال

أنشطة الاختبار المسموح بها

  • اختبار الأجهزة المحلية
  • تحليل اتصالات الشبكة
  • التحقق من صحة التكوين والأذونات

الأنشطة المحظورة❌

  • الوصول غير المصرح به أو سرقة بيانات المستخدم
  • استغلال الثغرات الأمنية التي تتسبب في انقطاع الخدمة أو حدوث أضرار
  • هجمات مسح واسعة النطاق أو هجمات حجب الخدمة التي تستهدف بيئات الإنتاج

4. عملية الاستجابة للثغرات الأمنية والجدول الزمني

تلتزم شركة LuxpowerTek بأفضل الممارسات الدولية، وقد وضعت عملية استجابة موحدة للتعامل مع الثغرات الأمنية:

  1. شكر وتقديرسنؤكد استلام التقرير خلال 5 أيام عمل من تاريخ استلامه.
  2. التحقق والتقييمسيقوم فريق الأمن لدينا بالتحقق من الثغرة الأمنية وتقييم مستوى خطورتها باستخدام معيار CVSS v3.1.
  3. خطة المعالجة: بناءً على مدى خطورة الوضع، سنقوم بوضع خطة إصلاح أو تخفيف.
  4. تواصلسنبقى على اتصال مع الصحفي طوال العملية، وسنطلب معلومات إضافية حسب الحاجة.
  5. إفصاح عام بالتأكيدعند حل المشكلة، سيتم نشر إشعار بشأن الثغرة الأمنية في نشرتنا الأمنية، مع الإشارة إلى الباحث في حال تقديم الموافقة.

الجدول الزمني النموذجي للحل والإفصاح هو 90–120 أيام، مع إعطاء الأولوية للثغرات الأمنية الحرجة لمعالجتها بشكل عاجل.

5. تصنيف شدة الثغرات الأمنية

يتم تصنيف الثغرات الأمنية بناءً على معيار CVSS v3.1 على النحو التالي:

منخفض (0.1–3.9)

تأثير طفيف، تم حله في التكرارات اللاحقة.

متوسط (4.0–6.9)

تأثير محدود، تمت معالجته من خلال تحديثات البرامج الروتينية.

مرتفع (7.0–8.9)

تم إعطاء الأولوية للثغرات الأمنية ذات التأثير الكبير لحلها على وجه السرعة.

حرج (9.0–10.0)

معالجة فورية مع إصدار تحديث عاجل.

6. ملاحظة

مبادئ الإفصاح المنسق

تلتزم شركة LuxpowerTek بـ أمراض القلب والأوعية الدموية(الكشف المنسق عن الثغرات الأمنية) نموذج لضمان عدم الكشف عن الثغرات الأمنية علنًا قبل إصدار التحديث.

يُطلب من الباحثين تحديد فترة زمنية معقولة للمعالجة، عادةً 90 يومًا, ، لتسهيل حل المشكلة في الوقت المناسب.

الإعفاء القانوني

شريطة أن يتم إجراء اختبارات الثغرات الأمنية والإفصاح عنها وفقًا لهذه السياسة، لن تتخذ شركة LuxpowerTek أي إجراءات قانونية ضد الباحثين، وستعتبر مثل هذه الأنشطة بحث أمني بحسن نية.

تنصل

قد يتم تحديث هذه السياسةd لتعكس تطورات الصناعة والمتطلبات القانونية. لا تتحمل LuxpowerTek أي ضمان أو مسؤولية عن أي خسائر مباشرة أو غير مباشرة ناتجة عن الكشف عن الثغرات الأمنية أو التأخير في معالجتها.