Splashtop Responsible Disclosure Policy

Deze overeenkomst kan in verschillende talen worden vertaald. In geval van tegenstrijdigheden of inconsistenties tussen de Engelse versie en een vertaling daarvan, prevaleert de Engelse versie.

Splashtop Inc., een toonaangevende aanbieder van remote access software en diensten, zet zich in voor de veiligheid en beveiliging van onze klanten. Met dit doel formaliseert Splashtop nu ons beleid voor het accepteren van kwetsbaarheidsrapporten in onze producten. We hopen een open samenwerking met de beveiligingsgemeenschap te bevorderen, en we erkennen dat het werk dat de gemeenschap doet belangrijk is om de veiligheid en beveiliging voor al onze klanten te waarborgen.

We hebben dit beleid ontwikkeld om zowel onze bedrijfswaarden te weerspiegelen als om onze wettelijke verantwoordelijkheid na te komen jegens bona fide beveiligingsonderzoekers die ons van hun expertise voorzien.

Juridische houding

Splashtop Inc. zal geen juridische stappen ondernemen tegen personen die kwetsbaarheidsrapporten indienen via ons Vulnerability Reporting Formulier. We accepteren openlijk rapporten voor de momenteel vermelde Splashtop-producten. We komen overeen geen juridische stappen te ondernemen tegen personen die:

• Doe mee aan het testen van systemen/onderzoek zonder Splashtop of haar klanten te schaden

• Deelname aan kwetsbaarheidstests binnen het kader van ons kwetsbaarheidsmeldingsprogramma

• Neem onmiddellijk contact op met Splashtop als u per ongeluk gebruikersgegevens tegenkomt. Bekijk, wijzig, bewaar, draag niet over of open anderszins toegang tot de gegevens en verwijder geen lokale informatie onmiddellijk na het melden van het beveiligingslek aan Splashtop.

• Houd u aan de wetten van uw locatie en de locatie van Splashtop. Bijvoorbeeld, het overtreden van wetten dat alleen zou resulteren in een claim door Splashtop (en niet een strafrechtelijke claim) kan acceptabel zijn aangezien Splashtop de activiteit autoriseert (reverse engineering of het omzeilen van beveiligingsmaatregelen) om zijn systeem te verbeteren.

• Zie af van het openbaar maken van kwetsbaarheidsdetails voordat een wederzijds overeengekomen tijdsbestek is verstreken

Voorkeur, Prioritering en Acceptatiecriteria

We zullen de volgende criteria gebruiken om inzendingen te prioriteren en te beoordelen.

Wat we van jou zouden willen zien:

• Goed geschreven rapporten in het Engels hebben een grotere kans op oplossing.

• Rapporten die proof-of-concept code bevatten stellen ons in staat om beter te rangschikken.

• Rapporten die alleen crashdumps of uitvoer van andere geautomatiseerde tools bevatten, kunnen een lagere prioriteit krijgen.

• Rapporten die producten bevatten die niet op de oorspronkelijke scopelijst staan, kunnen een lagere prioriteit krijgen.

• Voeg alstublieft toe hoe u de bug gevonden heeft, de impact, en mogelijke oplossingen.

• Laat ons weten als u met ons wilt samenwerken om een kwetsbaarheid te melden. We zullen ons best doen om waar mogelijk met u samen te werken om kwetsbaarheden te onthullen.

Wat je van ons kunt verwachten:

• Je ontvangt binnen 3 werkdagen feedback op je inzending nadat deze is beoordeeld.

• Na beoordeling sturen we een verwachte tijdlijn en beloven zo transparant mogelijk te zijn over de hersteltermijn en over kwesties of uitdagingen die deze kunnen verlengen.

• Een open dialoog om problemen te bespreken.

• Meldingen wanneer de kwetsbaarheidsanalyse elke fase van onze beoordeling heeft voltooid.

Als we communicatieproblemen of andere problemen niet kunnen oplossen, kan Splashtop een neutrale derde partij (zoals CERT/CC, ICS-CERT, of de relevante toezichthouder) inschakelen om te helpen bepalen hoe de kwetsbaarheid het beste kan worden behandeld.

Hoe een kwetsbaarheid in te dienen

Vul de volgende informatie in om een kwetsbaarheidsrapport in te dienen bij het Productbeveiligingsteam van Splashtop: