1. Cel polityki

LuxpowerTek zobowiązuje się do dostarczania bezpiecznych i niezawodnych produktów i usług naszym klientom na całym świecie. Zachęcamy badaczy bezpieczeństwa, partnerów i klientów do zgłaszania potencjalnych luk w zabezpieczeniach za pośrednictwem… odpowiedzialne praktyki ujawniania informacjico pozwala nam na szybkie reagowanie na ryzyko i jego ograniczanie.

2. Proces raportowania

Aby zgłosić lukę w zabezpieczeniach, skorzystaj z następujących kanałów:

E-mail

security@luxpowertek.com (Zalecane szyfrowanie PGP)

Formularz online/Portal bezpieczeństwa

Szczegóły dotyczące każdego dedykowanego portalu bezpieczeństwa zostaną ogłoszone osobno

Prosimy o uwzględnienie w raporcie następujących informacji:

  • Model produktu, którego dotyczy problem, oraz wersja oprogramowania sprzętowego/oprogramowania
  • Szczegółowy opis luki w zabezpieczeniach i kroki umożliwiające jej odtworzenie (lub dowód koncepcji)
  • Analiza potencjalnego wpływu
  • Dane kontaktowe do komunikacji następczej

PORADY:

Aby zapewnić odpowiedzialne ujawnienie informacji, prosimy o powstrzymanie się od publicznego ujawniania luki w zabezpieczeniach do czasu wydania oficjalnej poprawki.

3. Zakres testów bezpieczeństwa i granice zgodności

Dozwolone działania testowe

  • Testowanie urządzeń lokalnych
  • Analiza komunikacji sieciowej
  • Weryfikacja konfiguracji i uprawnień

Zabronione działania❌

  • Nieautoryzowany dostęp lub kradzież danych użytkownika
  • Wykorzystanie luk powodujących zakłócenia lub uszkodzenia usług
  • Skanowanie na dużą skalę lub ataki typu „odmowa usługi” skierowane przeciwko środowiskom produkcyjnym

4. Proces i harmonogram reagowania na luki w zabezpieczeniach

LuxpowerTek stosuje się do najlepszych międzynarodowych praktyk i opracował standardowy proces reagowania na luki w zabezpieczeniach:

  1. Potwierdzenie: W ciągu 5 dni roboczych od otrzymania raportu potwierdzimy jego otrzymanie.
  2. Walidacja i ocenaNasz zespół ds. bezpieczeństwa zweryfikuje lukę w zabezpieczeniach i oceni jej poziom ryzyka, korzystając ze standardu CVSS v3.1.
  3. Plan naprawy:W zależności od powagi problemu opracujemy plan naprawczy lub łagodzący.
  4. Komunikacja:Będziemy utrzymywać kontakt z reporterem przez cały czas trwania procesu i w razie potrzeby zwrócimy się do niego z prośbą o dodatkowe informacje.
  5. Ujawnienie publiczne pewny:Po rozwiązaniu problemu w naszym biuletynie bezpieczeństwa zostanie opublikowane ostrzeżenie o podatności, z podziękowaniem dla badacza, jeśli wyraził on na to zgodę.

Typowy harmonogram rozwiązania i ujawnienia jest następujący: 90–120 dni, przy czym najważniejsze luki w zabezpieczeniach są traktowane priorytetowo i rozpatrywane przyspieszonym trybem.

5. Klasyfikacja stopnia zagrożenia

Klasyfikacja luk w zabezpieczeniach na podstawie standardu CVSS v3.1 wygląda następująco:

Niski (0,1–3,9)

Minimalny wpływ, rozwiązany w kolejnych iteracjach.

Średni (4,0–6,9)

Ograniczony wpływ, uwzględniony w rutynowych aktualizacjach oprogramowania.

Wysoki (7,0–8,9)

Priorytetowo traktowane są poważne luki w zabezpieczeniach, które należy jak najszybciej rozwiązać.

Krytyczny (9,0–10,0)

Natychmiastowa naprawa i pilne wydanie poprawki.

6. Zawiadomienie

Zasady skoordynowanego ujawniania informacji

LuxpowerTek przestrzega CVD(Skoordynowane ujawnianie luk w zabezpieczeniach) model zapewniający, że luki w zabezpieczeniach nie zostaną ujawnione publicznie przed wydaniem poprawki.

Od badaczy oczekuje się podania rozsądnego czasu na przeprowadzenie naprawy, zazwyczaj 90 dni, aby ułatwić terminowe rozwiązanie.

Zwolnienie prawne

Jeżeli testy i ujawnianie luk w zabezpieczeniach będą przeprowadzane zgodnie z niniejszą polityką, LuxpowerTek nie będzie podejmować kroków prawnych przeciwko badaczom i będzie brać pod uwagę takie działania jako: badania nad bezpieczeństwem prowadzone w dobrej wierze.

Zastrzeżenie

Niniejsza polityka może ulec aktualizacjid, aby odzwierciedlać rozwój branży i wymogi prawne. LuxpowerTek nie ponosi żadnej odpowiedzialności ani gwarancji za jakiekolwiek bezpośrednie lub pośrednie straty wynikające z ujawnienia luk w zabezpieczeniach lub opóźnień w ich usuwaniu.