Splashtop Inc., een toonaangevende leverancier van software en services voor toegang op afstand, doet er alles aan om de veiligheid en beveiliging van onze klanten te waarborgen. Daartoe formaliseert Splashtop nu ons beleid voor het accepteren van kwetsbaarheidsrapporten in onze producten. We hopen een open partnerschap met de beveiligingsgemeenschap te bevorderen en we erkennen dat het werk dat de gemeenschap doet belangrijk is om de veiligheid en beveiliging van al onze klanten te blijven garanderen.

We hebben dit beleid ontwikkeld om zowel onze bedrijfswaarden te weerspiegelen als om onze wettelijke verantwoordelijkheid te behouden aan goeder trouwe veiligheidsonderzoekers die ons hun expertise ter beschikking stellen.

Juridische houding

Splashtop Inc. zal geen juridische stappen ondernemen tegen individuen die kwetsbaarheidsrapporten indienen via ons Vulnerability Reporting Form. We accepteren openlijk rapporten voor de momenteel vermelde Splashtop-producten. We gaan ermee akkoord geen juridische stappen te ondernemen tegen personen die:

  • Doe mee aan het testen van systemen / onderzoek zonder Splashtop of zijn klanten te schaden
  • Doe mee aan kwetsbaarheidstesten in het kader van ons programma voor het melden van kwetsbaarheden
  • Neem onmiddellijk contact op met Splashtop als u per ongeluk gebruikersgegevens tegenkomt. Bekijk, wijzig, bewaar, draag niet over of open anderszins toegang tot de gegevens en verwijder geen lokale informatie onmiddellijk na het melden van het beveiligingslek aan Splashtop.
  • Houd u aan de wetten van hun locatie en de locatie van Splashtop. Het overtreden van bijvoorbeeld wetten die alleen zouden resulteren in een claim van Splashtop (en niet een criminele claim) kan acceptabel zijn omdat Splashtop de activiteit autoriseert (reverse engineering of het omzeilen van beschermende maatregelen) om haar systeem te verbeteren.
  • Onthul geen kwetsbaarheidsgegevens aan het publiek voordat een onderling overeengekomen tijdsbestek verloopt

Voorkeurs-, prioriteits- en acceptatiecriteria

We zullen de volgende criteria gebruiken om inzendingen te prioriteren en te triage.

Wat we graag van u willen zien:

  • Goed geschreven rapporten in het Engels hebben een grotere kans op oplossing.
  • Rapporten met proof-of-concept-code stellen ons in staat om een betere triage te bereiken.
  • Rapporten die alleen crashdumps of andere geautomatiseerde tooluitvoer bevatten, krijgen mogelijk een lagere prioriteit.
  • Rapporten die producten bevatten die niet op de oorspronkelijke scope-lijst staan, krijgen mogelijk een lagere prioriteit.
  • Geef aan hoe je de bug hebt gevonden, de impact en eventuele herstelmogelijkheden.
  • Laat ons weten als u met ons wilt samenwerken om een kwetsbaarheid te melden. We zullen ons best doen om waar mogelijk met u samen te werken om kwetsbaarheden te onthullen.

Wat kunt u van ons verwachten:

  • U ontvangt feedback over uw inzending binnen 3 werkdagen nadat de inzending is beoordeeld.
  • Na de triage sturen we een verwachte tijdlijn en verbinden we ons ertoe om zo transparant mogelijk te zijn over de tijdlijn voor herstel en over problemen of uitdagingen die deze kunnen verlengen.
  • Een open dialoog om problemen te bespreken.
  • Melding wanneer de kwetsbaarheidsanalyse elke fase van onze beoordeling heeft voltooid.

Als we communicatieproblemen of andere problemen niet kunnen oplossen, kan Splashtop een neutrale derde partij inschakelen (zoals CERT / CC, ICS-CERT of de relevante toezichthouder) om te helpen bepalen hoe de kwetsbaarheid het beste kan worden aangepakt.

Hoe een kwetsbaarheid in te dienen

Vul de volgende informatie in om een kwetsbaarheidsrapport in te dienen bij het Productbeveiligingsteam van Splashtop:

Dit document is oorspronkelijk in het Engels geschreven en is mogelijk in verschillende talen vertaald. In geval van tegenstrijdigheid tussen de Engelse versie en de vertaling, heeft de Engelse versie altijd voorrang.

Versie-aantekeningen

Versie 1.1: Toegevoegde disclaimer voor conflicten tussen de Engelse versie en vertalingen (05/05/2021)

Versie 1.0: Beleid inzake verantwoordelijke openbaarmaking (05/12/2020)