Splashtop Inc., fornitore leader di software e servizi di accesso remoto, si impegna a garantire la sicurezza e la protezione dei nostri clienti. A tal fine, Splashtop sta ora formalizzando la nostra politica per accettare i rapporti di vulnerabilità nei nostri prodotti. Speriamo di favorire una collaborazione aperta con la comunità della sicurezza e riconosciamo che il lavoro svolto dalla comunità è importante per continuare a garantire sicurezza e protezione a tutti i nostri clienti.

Abbiamo sviluppato questa politica sia per riflettere i nostri valori aziendali sia per sostenere la nostra responsabilità legale nei confronti dei ricercatori di sicurezza fedeli che ci stanno fornendo le loro competenze.

Posizione legale

Splashtop Inc. non intraprenderà azioni legali contro persone che inviano segnalazioni di vulnerabilità tramite il nostro Modulo di Segnalazione delle Vulnerabilità. Accettiamo apertamente i report per i prodotti Splashtop attualmente elencati. Ci impegniamo a non intraprendere azioni legali contro persone che:

  • Si impegnano nella sperimentazione di sistemi / ricerche senza danneggiare Splashtop o i suoi clienti
  • Partecipano ai test di vulnerabilità nell'ambito del nostro programma di divulgazione delle vulnerabilità
  • Contattano immediatamente Splashtop se si verificano inavvertitamente dati utente. Non visualizzano, alterano, salvano, archiviano, trasferiscono o altrimenti accedono ai dati e eliminano immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Splashtop.
  • Aderiscono alle leggi della loro posizione e della posizione di Splashtop. Ad esempio, la violazione delle leggi che comporterebbe solo un reclamo da parte di Splashtop (e non un reclamo penale) può essere accettabile poiché Splashtop autorizza l'attività (ingegneria inversa o elusione di misure di protezione) per migliorare il suo sistema.
  • Astenersi dal divulgare i dettagli della vulnerabilità al pubblico prima della scadenza di un periodo di tempo concordato

Criteri di preferenza, priorità e accettazione

Utilizzeremo i seguenti criteri per stabilire le priorità e valutare le richieste.

Cosa vorremmo vedere da te:

  • Rapporti ben scritti in inglese avranno maggiori possibilità di risoluzione.
  • I rapporti che includono un codice di prova ci forniscono una migliore valutazione.
  • I report che includono solo un arresto anomalo o altri output di strumenti automatici possono ricevere una priorità inferiore.
  • I report che includono prodotti non inclusi nell'elenco di ambito iniziale potrebbero ricevere una priorità inferiore.
  • Ti preghiamo di includere come hai trovato il bug, l'impatto e qualsiasi potenziale rimedio.
  • Facci sapere se desideri collaborare con noi per rivelare una vulnerabilità. Faremo uno sforzo sincero per collaborare con te alla divulgazione delle vulnerabilità quando possibile.

Cosa puoi aspettarti da noi:

  • Riceverai feedback sul tuo invio entro 3 giorni lavorativi dall'invio della valutazione.
  • Dopo il triage, invieremo una linea temporale prevista e ci impegneremo a essere il più trasparenti possibile sulla linea temporale della riparazione, nonché su problemi o sfide che potrebbero estenderla.
  • Una finestra di dialogo aperta per discutere dei problemi.
  • Notifica quando l'analisi della vulnerabilità ha completato ogni fase della nostra recensione.

Se non siamo in grado di risolvere problemi di comunicazione o altri problemi, Splashtop può portare una terza parte neutrale (come CERT / CC, ICS-CERT o il relativo regolatore) per aiutare a determinare il modo migliore di gestire la vulnerabilità.

Come inviare una vulnerabilità

Per inviare un rapporto di vulnerabilità al team di sicurezza del prodotto Splashtop, si prega di compilare le seguenti informazioni:

Note sulla versione

Versione 1.0: Politica di divulgazione responsabile creata (12/05/2020)