Bu politika, Socomec ile Socomec'in ürünlerinde bulunan bir güvenlik açığını bildirebilecek güvenlik araştırmacıları da dahil olmak üzere diğer gerçek veya tüzel kişiler arasındaki işbirliği sürecine ilişkin açık yönergeleri özetlemektedir.

Bu politika, güvenlik açıklarının bildirilmesi için sunulan iletişim kanalını, alınan raporları ele alma prosedürümüzü (araştırmacının güvenlik açığını üçüncü taraflara ifşa etmemesinin istendiği işlem sürelerimiz dahil) ve ilk temastan yama dağıtımına kadar tüm işbirliği aşamalarını açıklamaktadır.

Socomec bu işbirliğine değer vermekte ve alınan raporları verimli bir şekilde ve zamanında ele almak için her türlü çabayı göstermektedir. Herkesi ve her şeyden önce bize ulaşmaya ve ürünlerimizdeki potansiyel güvenlik açıklarını bildirmeye teşvik ediyoruz, böylece kullanıcılarımızın ve genel halkın güvenliğine hizmet eden düzeltici önlemler sağlayabiliyoruz.

Socomec hata ödülleri sunmamaktadır, ancak Güvenlik Açığı İfşa Politikamız (VDP), isterseniz ürünlerimizin güvenlik açıklarını belirleme ve düzeltme konusundaki katkınız hakkında açıkça iletişim kuracağımız bir şöhret duvarı içerir.

 

Kapsam

Zafiyet Açıklama Politikası, başta güvenlik araştırmacıları olmak üzere tüm kişi ve kuruluşlar için geçerlidir ve Socomec'in tüm ürünleri, uygulamaları ve hizmetleri ile Socomec'in tüm web sitelerine ilişkin tüm zafiyetleri kapsar.

 

Yönergeler

Bir güvenlik açığını bildirirken lütfen aşağıdaki yönergelere uyun.

Ürünlerimizin güvenlik açıklarının kamusal alanda ifşa edilmesi ciddi sonuçlar doğurabilir ve Socomec'in çıkarlarına zarar verebilir. Aşağıdaki yönergeleri göz ardı ederek ve/veya ihlal ederek Socomec'e zarar verecek herhangi bir gerçek ve/veya tüzel kişiye karşı yasal işlem başlatma hakkımızı saklı tutarız.

Do

  • Gerçek veya potansiyel bir güvenlik sorunu keşfettikten sonra mümkün olan en kısa sürede Socomec'i bilgilendirin;
  • Keşfedilen güvenlik açığının yerini ve potansiyel etkisini açıklayın;
  • Açığı yeniden oluşturmak için gereken adımların ayrıntılı bir açıklamasını sunun (kavram kanıtı komut dosyaları veya ekran görüntüleri yararlıdır);
  • Raporunuzu İngilizce olarak yazın;.
  • Gizlilik ihlallerinden, kullanıcı deneyiminin bozulmasından, üretim sistemlerinin kesintiye uğramasından ve verilerin tahrip edilmesinden veya manipüle edilmesinden kaçınmak için her türlü çabayı gösterin;
  • İstismarları yalnızca bir güvenlik açığının varlığını doğrulamak için gerekli olduğu ölçüde kullanın. Verileri tehlikeye atmak veya dışarı sızdırmak, kalıcı komut satırı erişimi sağlamak veya istismarı diğer sistemlere geçmek için kullanmayın;
  • Bildirilen bir güvenlik açığını, bir düzeltme veya hafifletme yayınlanana ve Socomec'ten onay alana kadar kamuya açıklamamayı kabul edin.

Don't

  • Yüksek hacimde düşük kaliteli raporlar gönderin;
  • Raporlarınız karşılığında maddi bir tazminat talep edin;
  • Bir ağ hizmet reddi (DoS veya DDoS) testleri veya bir sisteme veya verilere erişimi engelleyen veya zarar veren diğer testleri planlayın;
  • Fiziksel bir test (örn. ofis erişimi), sosyal mühendislik (örn. phishing, vishing) veya diğer teknik olmayan güvenlik açığı testlerini gerçekleştirin.

Bir güvenlik açığı bildirin

Bu politika kapsamında gönderilen bilgiler yalnızca savunma amaçlı olarak - güvenlik açıklarını azaltmak veya düzeltmek için kullanılacaktır. Socomec, açık izniniz olmadan kimliğinizi veya iletişim bilgilerinizi paylaşmayacaktır.

Zafiyet raporlarınızı bu formu kullanarak veya cyberalert@socomec.com üzerinden gönderebilirsiniz. Raporlar anonim olarak gönderilebilir. Raporunuzda lütfen şunları belirtin:

  • Zafiyetin açıklaması;
  • Zafiyetin potansiyel etkisi;
  • Etkilenen ürün ve sürümü;
  • CVSS ayrıntıları: saldırı vektörü, saldırı karmaşıklığı, gereken ayrıcalıklar, kullanıcı etkileşimi, kapsam ve gizlilik, bütünlük ve kullanılabilirlik üzerindeki etki.

 

Socomec'ten bekleyebilecekleriniz

Rapor gönderildikten sonra:

  • Raporun alınmasından itibaren 72 saat içinde raporun alındığını size bildireceğiz;
  • Raporun alındığı tarihten itibaren 30 gün içinde güvenlik açığının niteliğini gerçekleştireceğiz. Bu son tarihe uymamızı engelleyen belirli sorunlar olması durumunda, bu nitelendirmenin tamamlanması için makul ve orantılı yeni bir son tarihi derhal bildireceğiz;
  • Kritik ve önemli güvenlik açığı için nitelendirme tarihinden itibaren 60 gün içinde güvenlik açığını gidereceğiz ve düzeltmeyi yayınlayacağız. Bu son tarihe uymamızı engelleyen belirli zorluklar olması durumunda, bu yeterliliğin tamamlanması için makul ve orantılı yeni bir son tarihi derhal bildireceğiz.

 

Sorular

Bu politika ile ilgili sorular cyberalert [at] socomec.com adresine gönderilebilir. Ayrıca sizi bu politikayı geliştirmek için önerilerinizle Socomec ile iletişime geçmeye davet ediyoruz.

Bir olay / korunmasızlık bildirin
Ürün veya hizmetlerimizden biriyle ilgili bir olayı veya güvenlik açığını bildirmek için bizimle iletişime geçin.
Güvenlik açığı bildirme
Siber Güvenlik ve Veri Koruma
Yaptığımız her şeyin özünde verilerinizin korunması vardır. Siber güvenlik politikamızla size nasıl güvenli ve güvenilir bağlantılar sağladığımızı keşfedin.
Siber güvenlik taahhütlerimiz