Master Lock-beleid inzake openbaarmaking van kwetsbaarheden

Master Lock zet zich in voor de bescherming van de veiligheid van onze klanten en we streven ernaar om onze gebruikers een veilig, stabiel product en service te bieden en de privacy en veiligheid van de gegevens van klanten te beschermen.

Dit beleid inzake openbaarmaking van kwetsbaarheden is van toepassing op alle kwetsbaarheden die u overweegt aan ons (de "Organisatie") te melden.

We raden u aan dit beleid voor openbaarmaking van kwetsbaarheden volledig te lezen voordat u een kwetsbaarheid meldt en altijd in overeenstemming met dit beleid te handelen.

We waarderen degenen die de tijd en moeite nemen om beveiligingsproblemen te melden in overeenstemming met dit beleid. We bieden echter geen geldelijke beloningen voor het bekendmaken van kwetsbaarheden.

 

Berichtgeving 

Als u denkt dat u een beveiligingslek hebt gevonden, dient u uw melding bij ons in via de volgende e-mail productsecurity@mlock.com.

Vermeld in uw melding waar mogelijk de volgende gegevens:

  • De app, website, het IP-adres of het apparaat waarop de kwetsbaarheid kan worden waargenomen, indien van toepassing.
  • Een korte beschrijving van het beveiligingslek, bijvoorbeeld 'XSS-kwetsbaarheid'.
  • Mogelijke oorzaak.
  • Stappen om te reproduceren. Deze moeten goedaardig, niet-destructief, proof of concept zijn. Dit helpt ervoor te zorgen dat het rapport snel en nauwkeurig kan worden beoordeeld.

 

Dit kun je verwachten 

Nadat u uw melding heeft ingediend, bevestigen wij de ontvangst van uw melding binnen 5 werkdagen en streven wij ernaar uw melding binnen 10 werkdagen te beoordelen.

We zullen er ook naar streven om u op de hoogte te houden van onze voortgang of om aanvullende informatie te vragen indien van toepassing.

Prioriteiten voor herstel worden beoordeeld door te kijken naar de impact, ernst en exploiteercomplexiteit. Het kan enige tijd duren voordat meldingen van kwetsbaarheden zijn gesorteerd of aangepakt. U bent van harte welkom om te informeren naar de status, maar doe dit niet vaker dan eens in de 14 dagen.

We stellen u op de hoogte zodra het beveiligingslek is verholpen en u wordt mogelijk gevraagd te bevestigen dat de oplossing het beveiligingslek adequaat dekt.

Zodra de kwetsbaarheid is opgelost, zullen wij de melder van de kwetsbaarheid voorzien van een statusupdate om de zaak af te sluiten.

 

Begeleiding 

U mag NIET:

  • Het schenden van toepasselijke wet- of regelgeving.
  • Krijg toegang tot onnodige, buitensporige of aanzienlijke hoeveelheden gegevens.
  • Gegevens in de systemen of services van de organisatie wijzigen.
  • Gebruik invasieve of destructieve scantools met hoge intensiteit om kwetsbaarheden te vinden.
  • Proberen om enige vorm van denial of service te melden, bijvoorbeeld het overweldigen van een service met een groot aantal verzoeken.
  • De diensten of systemen van de organisatie verstoren.
  • Dien rapporten in met details over niet-exploiteerbare kwetsbaarheden, of rapporten die aangeven dat de services niet volledig in overeenstemming zijn met "best practice", bijvoorbeeld ontbrekende beveiligingsheaders.
  • Dien rapporten in met details over zwakke punten in de TLS-configuratie, bijvoorbeeld "zwakke" ondersteuning voor coderingssuites of de aanwezigheid van TLS1.0-ondersteuning.
  • Social engineer, "phish" of fysiek aanvallen op het personeel of de infrastructuur van de organisatie.
  • Eis een financiële vergoeding om eventuele kwetsbaarheden aan het licht te brengen. 
  • Kwetsbaarheden te bespreken of bekend te maken aan derden zonder de uitdrukkelijke toestemming van de organisatie.

 

Je moet

  • Houd u altijd aan de regels voor gegevensbescherming en mag de privacy van de gebruikers, het personeel, de contractanten, de diensten of de systemen van de organisatie niet schenden. U mag bijvoorbeeld geen gegevens die uit de systemen of diensten zijn opgehaald, delen, herdistribueren of niet goed beveiligen.
  • Verwijder alle gegevens die tijdens uw onderzoek zijn opgehaald veilig zodra deze niet langer nodig zijn of binnen 1 maanden nadat de kwetsbaarheid is opgelost, afhankelijk van wat zich het eerst voordoet (of zoals anderszins vereist door de wetgeving inzake gegevensbescherming).

 

Wettigheid 

Dit beleid is zo opgesteld dat het verenigbaar is met algemene goede praktijken op het gebied van openbaarmaking van kwetsbaarheden. Het geeft u geen toestemming om te handelen op een manier die niet in overeenstemming is met de wet, of die ertoe kan leiden dat de organisatie of partnerorganisaties wettelijke verplichtingen schenden.