Splashtop Inc., en ledande leverantör av programvara och tjänster för fjärråtkomst, har åtagit sig att säkerställa våra kunders trygghet och säkerhet. Mot detta syfte formaliserar Splashtop nu vår policy för att ta emot sårbarhetsrapporter i våra produkter. Vi hoppas kunna främja ett öppet partnerskap med säkerhetssamhället och vi inser att det arbete som samhället utför är viktigt för att fortsätta säkerställa säkerhet för alla våra kunder.

Vi har utvecklat denna policy för att både återspegla våra företagsvärden och för att upprätthålla vårt juridiska ansvar till säkerhetsforskare i god tro som förser oss med sin expertis.

Juridisk hållning

Splashtop Inc. kommer inte att delta i rättsliga åtgärder mot individer som skickar in sårbarhetsrapporter via vårt formulär för sårbarhetsrapportering. Vi accepterar öppet rapporter för de för nuvarande listade Splashtop produkterna. Vi samtycker till att inte vidta rättsliga åtgärder mot individer som:

  • Deltar i testning av system/forskning utan att skada Splashtop eller dess kunder
  • Delta i sårbarhetstest inom ramen för vårt program för avslöjande av sårbarhet
  • Kontakta Splashtop omedelbart om du oavsiktligt stöter på användardata. Se inte, förändra, spara, lagra, överför eller på annat sätt få tillgång till informationen, och rensa omedelbart lokal information när du rapporterar sårbarheten till Splashtop.
  • Följ lagarna på plats och platsen för Splashtop. Till exempel kan det vara acceptabelt att bryta lagar som endast skulle resultera i ett krav från Splashtop (och inte ett brottsmål) eftersom Splashtop tillåter verksamheten (omvänd teknik eller kringgå skyddsåtgärder) för att förbättra sitt system.
  • Avstå från att avslöja sårbarhetsinformation för allmänheten innan en ömsesidigt överenskommen tidsram löper ut

Kriterier för preferens, prioritering och acceptans

Vi kommer att använda följande kriterier för att prioritera och värdera inlämningar.

Vad vi skulle vilja se från dig:

  • Välskrivna rapporter på engelska kommer att ha högre chans att lösas.
  • Rapporter som innehåller proof-of-concept-kod utrustar oss att kunna prioritera bättre.
  • Rapporter som endast innehåller kraschdumpar eller annan automatiserad data kan få lägre prioritet.
  • Rapporter som innehåller produkter som inte finns i den ursprungliga omfattningslistan kan få lägre prioritet.
  • Vänligen inkludera hur du hittade felet, påverkan och eventuell lösning.
  • Låt oss veta om du vill arbeta med oss för att avslöja en sårbarhet. Vi kommer att göra en ärlig ansträngning att arbeta med dig för att avslöja sårbarheter när det är möjligt.

Vad du kan förvänta dig av oss:

  • Du kommer att få feedback om din inlämning inom tre arbetsdagar från inlämningen.
  • Efter riskanalys kommer vi att skicka en förväntad tidslinje och åta oss att vara så öppen som möjligt när det gäller åtgärdens tidslinje samt om frågor eller utmaningar som kan förlänga den.
  • En öppen dialog för att diskutera frågor.
  • Meddelande när sårbarhetsanalysen har slutförts i varje steg i vår granskning.

Om vi inte kan lösa kommunikations problem eller andra problem kan Splashtop få in en neutral tredje part (som CERT/CC, ICS-CERT eller relevant regulator) för att hjälpa till att avgöra hur man bäst hanterar sårbarheten.

Hur man skickar in en sårbarhet

Fyll i följande information om du vill skicka en sårbarhetsrapport till Splashtops produktsäkerhets grupp:

Detta dokument skrevs ursprungligen på engelska och kan ha översatts till olika språk. I händelse av konflikter mellan den engelska versionen och dess översättning, ska den engelska versionen alltid ha företräde.

Versionsanteckningar

Version 1.1: Friskrivningsklausul för konflikter mellan den engelska versionen och översättningarna som lagts till (05/05/2021)

Version 1.0: Skapad ansvarsfull policy för offentliggörande (05/12/2020)