Beleid voor het openbaren van kwetsbaarheden in software

Inleiding

Dit beleid geldt voor alle kwetsbaarheden die je overweegt om aan Trust International B.V. te melden. Lees het beleid volledig door voordat je een kwetsbaarheid meldt en houd je aan de voorwaarden. We waarderen het zeer wanneer iemand de tijd en moeite neemt om een beveiligingskwetsbaarheid op een verantwoorde manier bij ons te melden. We garanderen echter geen financiële beloning voor het melden van kwetsbaarheden.

Rapporteren

Als je denkt dat je een kwetsbaarheid hebt gevonden in de beveiliging, stuur je rapport dan naar het volgende e-mailadres: recall@trust.com

Vermeld in je rapport de volgende details:

  • Asset (webadres, IP-adres, naam van product of service) waar de kwetsbaarheid wordt aangetroffen.
  • Beknopte omschrijving van de kwetsbaarheid
  • Beschrijving van de kwetsbaarheid (dit moet het volgende bevatten: samenvatting, ondersteunende bestanden en mogelijke maatregelen of aanbevelingen).
  • Impact (wat zou een aanvaller kunnen doen?).
  • Stappen waarmee de kwetsbaarheid kan worden gereproduceerd, de proof of concept. Deze moet onschadelijk en niet destructief zijn. Zo kunnen we je melding snel en nauwkeurig beoordelen. Het vermindert ook de kans op dubbele meldingen of opzettelijk misbruik van sommige kwetsbaarheden, zoals subdomein-overnames.

Wat je kunt verwachten

Nadat je het rapport hebt ingediend, sturen we je binnen vijf werkdagen een reactie en streven we ernaar om je rapport binnen tien werkdagen te beoordelen. Ook proberen we je op de hoogte te houden van onze voortgang.

De prioriteit voor herstel wordt bepaald op basis van de impact, de ernst en de complexiteit van de aanval. Het beoordelen of afhandelen van kwetsbaarheidsrapporten kan enige tijd in beslag nemen. Je kunt naar de status informeren maar doe dit niet vaker dan eens in de veertien dagen. Dit geeft onze teams de tijd om aan een oplossing te werken.

We laten het je weten wanneer de gemelde kwetsbaarheid is verholpen en mogelijk wordt je gevraagd om te bevestigen dat de oplossing afdoende is.

Nadat je kwetsbaarheid is verholpen, verwelkomen we verzoeken om je rapport openbaar te maken. Omdat we getroffen gebruikers graag een uniforme begeleiding willen bieden, verzoeken we je om de openbare communicatie met ons te blijven afstemmen.

Richtlijnen

Het is NIET toegestaan om:

  • toepasselijke wetten of regels te overtreden;
  • onnodige, buitensporige of grote hoeveelheden gegevens te raadplegen;
  • gegevens in de systemen of services van de Organisatie te wijzigen;
  • kwetsbaarheden op te sporen met ultra-intensieve, invasieve of destructieve scantools.
  • enige vorm van denial of service te veroorzaken of te rapporteren, bijvoorbeeld door middel van een groot aantal verzoeken te overweldigen;
  • de services of systemen van de Organisatie te ontregelen.

Openbaarmaking

Voorafgaande aan openbaarmaking, doen we het volgende (indien van toepassing):

  • het ontvangen rapport beoordelen en valideren;
  • met jouw de tijdlijn voor te treffen herstelmaatregelen (indien van toepassing) en openbaarmaking communiceren (indien van toepassing) (mogelijk verzoeken we om een verlenging van de embargotermijn);
  • door middel van een Multi-Party Coordinatied Disclosure met andere partijen communiceren;
  • CVE-identifier(s) (Common Vulnerability Enumeration) verkrijgen voor tracking;
  • de herstelstrategie met je communiceren.
  • Indien van toepassing wordt de openbaarmaking gepubliceerd op www.trust.com

Klantovereenkomsten en juridische overwegingen

De rechten van klanten met betrekking tot garantie, ondersteuning en onderhoud van producten of diensten van Trust International B.V. worden uitsluitend beheerst door onze Standaard Verkoopvoorwaarden, samen met eventuele andere toepasselijke overeenkomsten tussen Trust International B.V. en de afzonderlijke klant.

Dit document verandert niets aan bestaande klantenrechten, breidt deze niet uit en bevat geen nieuwe expliciete of impliciete garanties. Alle aan Trust International B.V. verstrekte informatie met betrekking tot mogelijke kwetsbaarheden - inclusief details in een kwetsbaarheidsrapport - wordt het exclusieve eigendom van Trust International B.V. en mag door haar naar eigen goeddunken worden gebruikt, zonder enige verplichting tot compensatie of creditering van de indienende partij.