Responsible Disclosure Policy
Tiivistelmä
Verisure on sitoutunut varmistamaan tuotteidemme, järjestelmiemme ja kaikkien asiakas-, kumppani- ja työntekijätietojen turvallisuuden. Arvostamme yhteistyötä käyttäjäyhteisömme ja asiantuntijoiden kanssa, jotka voivat auttaa tunnistamaan tuotteidemme ja järjestelmiemme turvallisuushaavoittuvuudet. Tässä käytännössä määritellään prosessi vastuulliselle turvallisuushaavoittuvuuden paljastamiselle, ja sen tavoitteena on tehokkaan yhteistyön edistäminen ja turvallisuusongelmien nopea korjaaminen.
Johdanto
Tässä käytännössä määritellään ohjeet turvallisuushaavoittuvuuksien ilmoittamiseen ja käsittelyyn vastuullisella tavalla alla olevien sääntöjen mukaisesti, ja se koskee kaikkia haavoittuvuuksia, joita harkitset ilmoittavasi Verisurelle.
Suosittelemme, että luet tämän käytännön kokonaan, ennen kuin ilmoitat mahdollisesta turvallisuushaavoittuvuudesta.
Huomaa, että Verisure ei tarjoa rahallisia palkkioita turvallisuushaavoittuvuuksien paljastamisesta.
Tämän asiakirjan määritelmäosiosta löytyy määritelmät eri termeille, joista jotkut saattavat olla kirjoitettu isoilla alkukirjaimilla.
Keskeiset periaatteet
|
Vilpitön mieli |
Verisure ei ryhdy oikeustoimiin ilmoittajia vastaan, jotka vilpittömässä mielessä havaitsevat ja paljastavat tietoturvahaavoittuvuudet tämän käytännön mukaisesti. |
|
Tahallinen noudattamatta jättäminen |
Verisure ei anna erivapautta tai syytesuojaa (suojaa syytteiltä tai oikeudelliselta tai muulta vastuulta) tapauksissa, joissa turvallisuushaavoittuvuuksia on paljastettu tarkoituksellisesti tai vastuuttomasti ilman vakiintuneiden menettelyjen noudattamista, kuten kertomalla tunnistetusta haavoittuvuudesta julkisesti. |
|
Häiriöt palveluissa |
Käytäntö ei salli toimia, jotka voisivat vaikuttaa tietojen ja järjestelmien luottamuksellisuuteen, eheyteen tai saatavuuteen, kuten Verisuren palveluiden tai Verisure-tuotteiden toiminnan häirintä. |
|
Toimintasäännöt |
Raportoijan on käytävä läpi ja noudatettava tässä käytännössä määriteltyä Toimintasäännöt-osiota. |
Keiden on noudatettava tätä käytäntöä
Tämä käytäntö on tarkoitettu yhteisömme eri sidosryhmille, jotka harkitsevat järjestelmistämme löytyvän turvallisuushaavoittuvuuden ilmoittamista, kuten turvallisuusasiantuntijat ja eettiset hakkerit, käyttäjät ja asiakkaat, jotka havaitsevat ongelmia palvelun tai tuotteen normaalin käytön aikana, sisäiset Verisure-tiimit, jotka käsittelevät näitä turvallisuushaavoittuvuuksia, ja loppukäyttäjät, joihin nämä haavoittuvuudet vaikuttavat.``
Miten noudatan käytäntöä?
Haavoittuvuudesta ilmoittaminen
Verisure tutkii kaikki ilmoitukset turvallisuushaavoittuvuuksista, jotka vaikuttavat tuotteisiin ja palveluihin. Jos uskot löytäneesi Verisure-tuotteesta tai -palvelusta turvallisuushaavoittuvuuden, lähetä haavoittuvuusraportti alla olevan lomakkeen avulla ja toimita meille riittävästi tietoja, jotta voimme toisintaa ja tutkia tekemäsi toimet. Kaikki pakolliset kentät on täytettävä oikein, ja on erittäin tärkeää, että säilytät luottamuksellisuuden, kun ilmoitat tämän käytännön mukaisesta haavoittuvuudesta. Pyydämme, ettet paljasta selville saamiasi asioita julkisesti, ennen kuin Verisure on suorittanut tutkinnan loppuun, ratkaissut tai lieventänyt turvallisuushaavoittuvuutta ja antanut sinulle luvan tehdä niin.
Seuraavat vaiheet
Lähetettyäsi raporttisi Verisure kertoo ilmoittajalle, että raportti on vastaanotettu oikein, ja aloittaa raportin käsittelyn. Verisure voi ottaa yhteyttä ilmoittajaan nimettömän verkkoportaalin kautta kerätäkseen lisätietoja raportista ja pitääkseen sinut ajan tasalla asian edistymisestä tapauksen lopulliseen sulkemiseen asti.
Sisäinen prosessimme turvallisuushaavoittuvuuden käsittelemiseksi alkaa raportin tarkastamisella ja sen vaikutuksen, vakavuuden ja monimutkaisuuden määrittämisellä, ennen asianmukaisten korjaustoimenpiteiden toteuttamista.
Verisure pidättää oikeuden jakaa lähetetyn turvallisuushaavoittuvuusraportin sisällön ja sen tuottamat löydökset asiaankuuluville osapuolille, mutta ei luovuta ilmoittajaan liittyviä tietoja.
Kolmannen osapuolen tuotteet tai palvelut
Tuotteet, järjestelmät ja tiedot, jotka eivät ole Verisuren omistuksessa, eivät kuulu tämän käytännön piiriin. Ilmoittajien on noudatettava asiaankuuluvien kolmansien osapuolten antamia vastuullisen tietojen paljastamisen käytäntöjä, jos he haluavat tutkia tai testata näitä järjestelmiä.
Toimintasäännöt
Verisure arvostaa turvallisuustutkimusyhteisön vaivannäköä ja panostusta ja edellyttää, että noudatat seuraavia sääntöjä. Verisure ei ryhdy oikeustoimiin sellaisia ilmoituksen tekijöitä vastaan, jotka havaitsevat ja paljastavat turvallisuushaavoittuvuuksia vilpittömässä mielessä ja tämän käytännön mukaisesti.
Ilmoituksen tekijä ei saa:
• Rikkoa soveltuvia lakeja tai määräyksiä
• Luoda uutta tai yrittää hyödyntää olemassa olevaa turvallisuushaavoittuvuutta.
• Osallistua asiakkaiden tai työntekijöiden sosiaaliseen manipulointiin tai tietojenkalasteluun.
• Vaatia rahallista korvausta vastineeksi turvallisuushaavoittuvuuden paljastamisesta.
• Käyttää, avata tai järjestää pääsyä mihinkään järjestelmiin tai tietoihin, joita ei tarvita haavoittuvuuden tunnistamiseen ja raportointiin.
• Peukaloida olemassa oleville asiakkaille kuuluvia hälytysjärjestelmiä tai hälytysjärjestelmälaitteita.
• Muuttaa, muokata, kopioida, jakaa, vahingoittaa tai muuten vaikuttaa Verisure-tuotteissa tai -järjestelmissä käsiteltyihin tietoihin.
Ilmoittajan tulee:
• Käyttää tietoja ja järjestelmiä vain siinä määrin kuin on tarpeen turvallisuushaavoittuvuuden varmistamiseksi.
• Lopettaa tutkimus- ja/tai testaustoimet ja ilmoittaa löydöksistä Verisurelle viipymättä.
• Poistaa turvallisesti kaikki tutkimuksen aikana haetut tiedot.
• Odottaa Verisuren kirjallista hyväksyntää ennen tietojen julkistamista.
Vastuullista julkistamista koskeva sääntely
Tämä käytäntö on suunniteltu yhteensopivaksi yleisten turvallisuushaavoittuvuuden paljastamista koskevien hyvien käytäntöjen ja soveltuvien määräysten kanssa.
Kuka tekee ja mitä?
|
Vastuuryhmä |
Kuvaus |
|
IImoittaja/raportoija |
Kuka tahansa henkilö, joka ilmoittaa Verisure-tuotteista tai -järjestelmistä löytyneestä turvallisuusihaavoittuvuudesta, mukaan lukien mutta ei rajoittuen tietoturvaasiantuntijoihin, eettisiin hakkereihin, kumppaneihin, työntekijöihin ja Verisuren asiakkaisiin, jotka havaitsevat ongelmia tuotteen tai palvelun normaalin käytön aikana. |
|
Verisure |
Koko Verisure-henkilöstö, mukaan lukien työntekijät ja urakoitsijat, jotka osallistuvat tämän kanavan kautta ilmoitettujen turvallisuushaavoittuvuuksien arvioimiseen ja niihin vastaamiseen. |
Määritelmät
|
Turvallisuushaavoittuvuus |
Verisure-tuotteissa tai -palveluissa havaitut erityiset tietoturvahaavoittuvuudet eli ohjelmisto- tai laitteistokomponenteissa havaitut heikkoudet ja haavoittuvuudet, jotka voivat hyväksikäytettynä vaikuttaa negatiivisesti Verisuren tietojen tai palveluiden luottamuksellisuuteen, eheyteen tai saatavuuteen. |
|
Verisuren tuote/palvelu |
Verisuren kehittämät tai valmistamat tuotteet tai järjestelmät. Tuotteet, järjestelmät ja tiedot, jotka eivät ole Verisuren omistuksessa, eivät kuulu tämän käytännön piiriin. |
Kysymykset ja tuki
Verisuren turvallisuustiimi käsittelee turvallisuushaavoittuvuusilmoitukset. Heihin voi ottaa yhteyttä täyttämällä ja lähettämällä alla olevan lomakkeen