Master Lock Beleid voor openbaarmaking van kwetsbaarheden
Master Lock zet zich in voor de bescherming van de veiligheid van onze klanten. Wij streven ernaar om onze gebruikers een veilig en stabiel product en service te bieden, en om de privacy en veiligheid van de gegevens van klanten te waarborgen.
Dit beleid inzake de openbaarmaking van kwetsbaarheden is van toepassing op alle kwetsbaarheden die u overweegt aan ons (de "Organisatie") te rapporteren.
Wij raden u aan om dit beleid voor de openbaarmaking van kwetsbaarheden volledig door te nemen voordat u een kwetsbaarheid meldt en altijd in overeenstemming met dit beleid te handelen.
Wij waarderen degenen die de tijd en moeite nemen om beveiligingskwetsbaarheden te melden volgens dit beleid. We bieden echter geen financiële beloningen voor het melden van kwetsbaarheden.
Rapportage
Als u denkt dat u een beveiligingslek hebt gevonden, dient u uw melding bij ons in via de volgende e-mail. productsecurity@mlock.com.
Vermeld in uw rapport waar mogelijk de volgende details:
- De app, website, het IP-adres of het apparaat waarop de kwetsbaarheid kan worden waargenomen, indien van toepassing.
- Een korte beschrijving van de kwetsbaarheid, bijvoorbeeld 'XSS-kwetsbaarheid'.
- Mogelijke hoofdoorzaak.
- Stappen om te reproduceren. Deze moeten onschadelijk, niet-destructief, bewijs van concept zijn. Dit helpt ervoor te zorgen dat het rapport snel en nauwkeurig kan worden geclassificeerd.
Wat u kunt verwachten
Nadat u uw rapport heeft ingediend, bevestigen wij de ontvangst van uw rapport binnen 5 werkdagen en streven wij ernaar uw rapport binnen 10 werkdagen te triageren.
We zullen er ook naar streven om u op de hoogte te houden van onze voortgang of om aanvullende informatie te vragen indien van toepassing.
Prioriteiten voor herstel worden beoordeeld op basis van de impact, ernst en complexiteit van de exploitatie. Het kan enige tijd duren om meldingen van kwetsbaarheden te beoordelen of aan te pakken. U bent van harte welkom om naar de status te vragen, maar vermijd dit te doen vaker dan eens in de 14 dagen.
Wij zullen u op de hoogte stellen zodra de kwetsbaarheid is verholpen, en u kunt mogelijk worden uitgenodigd om te bevestigen dat de oplossing de kwetsbaarheid adequaat dekt.
Zodra de kwetsbaarheid is opgelost, zullen wij de melder van de kwetsbaarheid voorzien van een statusupdate om de kwestie af te sluiten.
Begeleiding
U mag NIET:
- Het schenden van toepasselijke wet- of regelgeving.
- Toegang tot onnodige, buitensporige of aanzienlijke hoeveelheden gegevens.
- Gegevens in de systemen of diensten van de organisatie aanpassen.
- Gebruik invasieve of destructieve scanapparatuur met hoge intensiteit om kwetsbaarheden te identificeren.
- Probeer elke vorm van denial of service te melden, bijvoorbeeld het overweldigen van een dienst met een hoog aantal verzoeken.
- De diensten of systemen van de organisatie verstoren.
- Dien rapporten in met details over niet-exploiteerbare kwetsbaarheden, of rapporten die aangeven dat de services niet volledig in overeenstemming zijn met "best practice", bijvoorbeeld ontbrekende beveiligingsheaders.
- Dien rapporten in met details over zwakke punten in de TLS-configuratie, bijvoorbeeld "zwakke" ondersteuning voor coderingssuites of de aanwezigheid van TLS1.0-ondersteuning.
- Social engineering, "phishing" of fysiek aanvallen op het personeel of de infrastructuur van de organisatie.
- Eis financiële compensatie om eventuele kwetsbaarheden openbaar te maken.
- Kwetsbaarheden bespreken of bekendmaken aan derden zonder de uitdrukkelijke toestemming van de organisatie.
U moet
- Houd u altijd aan de regels voor gegevensbescherming en mag de privacy van de gebruikers, het personeel, de contractanten, de diensten of de systemen van de organisatie niet schenden. U mag bijvoorbeeld geen gegevens die uit de systemen of diensten zijn opgehaald, delen, herdistribueren of niet goed beveiligen.
- Verwijder alle gegevens die tijdens uw onderzoek zijn verzameld veilig zodra deze niet langer nodig zijn of binnen 1 maand na het oplossen van de kwetsbaarheid, afhankelijk van wat zich het eerst voordoet (of zoals anderszins vereist door de wetgeving inzake gegevensbescherming).
Juridische zaken
Dit beleid is ontworpen om compatibel te zijn met de gangbare goede praktijken voor het openbaar maken van kwetsbaarheden. Het geeft u geen toestemming om te handelen op een manier die niet in overeenstemming is met de wet, of die ertoe kan leiden dat de organisatie of partnerorganisaties wettelijke verplichtingen schenden.