Switch Language

Dit beleid bevat duidelijke richtlijnen voor het samenwerkingsproces tussen Socomec en andere natuurlijke of rechtspersonen, waaronder beveiligingsonderzoekers, die mogelijk een kwetsbaarheid melden die is aangetroffen in de producten van Socomec.

Dit beleid beschrijft het communicatiekanaal dat beschikbaar is gesteld voor het melden van kwetsbaarheden, onze procedure voor het afhandelen van de ontvangen meldingen (inclusief onze verwerkingstijden waarin de onderzoeker wordt gevraagd de kwetsbaarheid niet aan derden bekend te maken) en alle fasen van de samenwerking, van het eerste contact tot het uitrollen van de patch.

Socomec waardeert deze samenwerking en stelt alles in het werk om de ontvangen meldingen efficiënt en tijdig af te handelen. We moedigen iedereen aan om eerst en vooral contact met ons op te nemen en potentiële kwetsbaarheden in onze producten te melden, zodat we corrigerende maatregelen kunnen nemen die de veiligheid van onze gebruikers en het algemene publiek ten goede komen.

Socomec biedt geen bug bounties aan, maar ons Vulnerability Disclosure Policy (VDP) omvat wel een wall of fame waarin we openlijk communiceren over uw bijdrage aan het identificeren en corrigeren van kwetsbaarheden in onze producten, als u dat wilt.

 

Scope

Het beleid inzake openbaarmaking van kwetsbaarheden is van toepassing op alle personen en entiteiten, met name beveiligingsonderzoekers, en heeft betrekking op alle kwetsbaarheden met betrekking tot alle producten, toepassingen en services van Socomec en alle websites van Socomec.

 

Guidelines

Let bij het melden van een kwetsbaarheid op de volgende richtlijnen.

Het openbaar maken van kwetsbaarheden van onze producten kan ernstige gevolgen hebben en de belangen van Socomec schaden. Wij behouden ons alle rechten voor om juridische stappen te ondernemen tegen elke natuurlijke persoon en/of rechtspersoon die Socomec schade berokkent door de volgende richtlijnen over het hoofd te zien en/of te overtreden.

Do

  • Notificeer Socomec zo snel mogelijk nadat u een echt of potentieel beveiligingsprobleem hebt ontdekt;
  • Ontdek de locatie van de ontdekte kwetsbaarheid en de potentiële impact ervan;
  • Bied een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept-scripts of schermafbeeldingen zijn nuttig);
  • Schrijf uw rapport in het Engels;.
  • Maak alles in het werk om schending van de privacy, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen;
  • Gebruik exploits alleen voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen. Gebruik een exploit niet om gegevens te compromitteren of te exfiltreren, om aanhoudende commandoregeltoegang te verkrijgen of om de exploit te gebruiken om naar andere systemen over te schakelen;
  • Geloof u om een gemelde kwetsbaarheid pas openbaar te maken nadat een fix of mitigatie is vrijgegeven en u goedkeuring hebt ontvangen van Socomec.

Don't

  • Een grote hoeveelheid rapporten van lage kwaliteit indienen;
  • Eisen om een financiële vergoeding in ruil voor uw rapporten;
  • Een netwerk denial of service (DoS of DDoS) testen of andere testen plannen die de toegang tot een systeem of gegevens belemmeren of beschadigen;
  • Een fysieke test (bijv. toegang tot kantoor), social engineering (bijv. phishing, vishing) of andere niet-technische kwetsbaarheidstesten uitvoeren.

Reporteer een kwetsbaarheid

De informatie die onder dit beleid wordt ingediend, wordt alleen gebruikt voor defensieve doeleinden - om kwetsbaarheden te verminderen of te verhelpen. Socomec deelt uw identiteit of contactgegevens niet zonder uw uitdrukkelijke toestemming.

U kunt uw meldingen van kwetsbaarheden indienen via dit formulier of via cyberalert@socomec.com. Rapporten kunnen anoniem worden ingediend. Vermeld in uw rapport:

  • Een beschrijving van de kwetsbaarheid;
  • De potentiële impact van de kwetsbaarheid;
  • Het product en de versie waarop de kwetsbaarheid van invloed is;
  • De CVSS-details: aanvalsvector, aanvalscomplexiteit, vereiste rechten, gebruikersinteractie, reikwijdte en de impact op vertrouwelijkheid, integriteit en beschikbaarheid.

 

Wat u van Socomec kunt verwachten

Wanneer het rapport is ingediend:

  • Wij stellen u binnen 72 uur na ontvangst van het rapport op de hoogte van de ontvangst ervan;
  • Wij realiseren de kwalificatie van de kwetsbaarheid binnen 30 dagen na ontvangst van het rapport. In het geval van specifieke problemen waardoor wij deze deadline niet kunnen halen, zullen wij onmiddellijk een nieuwe redelijke en evenredige deadline voor het voltooien van deze kwalificatie bekendmaken;
  • Wij zullen de kwetsbaarheid verhelpen en de fix voor kritieke en belangrijke kwetsbaarheden binnen 60 dagen na de datum van kwalificatie publiceren. In het geval van specifieke problemen waardoor we deze deadline niet kunnen halen, zullen we onmiddellijk een nieuwe redelijke en evenredige deadline communiceren voor het voltooien van deze kwalificatie.

 

Vragen

Vragen over dit beleid kunnen worden gestuurd naar cyberalert@socomec.com. We nodigen u ook uit om contact op te nemen met Socomec met suggesties voor verbetering van dit beleid.

Meld een incident / kwetsbaarheid
Neem contact met ons op om een incident of een kwetsbaarheid in een van onze producten of diensten te melden.
Een kwetsbaarheid melden
Cyberbeveiliging en gegevensbescherming
De veiligheid van uw gegevens staat centraal bij alles wat we doen. Ontdek hoe we u veilige en vertrouwde aansluitingen bieden via ons cyberbeveiligingsbeleid.
Onze beloftes omtrent cyberbeveiliging