PSIRT · ПРИЕМ СООБЩЕНИЙ

Сообщить об уязвимости в системе безопасности

Команда Dewesoft по реагированию на инциденты, связанные с безопасностью продуктов (PSIRT), приветствует сообщения от пользователей и исследователей. Если вы считаете, что обнаружили уязвимость на веб-сайте или в продукте Dewesoft, либо проблему, связанную с защитой данных, выберите ниже подходящий канал связи и отправьте нам подробную информацию.

CH · ВЕБ

Безопасность веб-сайта

psirt@dewesoft.com

CH · ПРОДУКТ

Безопасность продукции

psirt@dewesoft.com

CH · ДАННЫЕ

Защита данных

legal@dewesoft.com

О ДАННОЙ СТРАНИЦЕ

Как сообщить об уязвимости в системе безопасности

Команда Dewesoft PSIRT приветствует ответственное раскрытие информации об уязвимостях в системе безопасности. Скоординированное информирование помогает нам быстрее устранять проблемы, держать клиентов в курсе событий и постоянно повышать уровень безопасности нашего программного обеспечения, приборов и онлайн-сервисов.

Пожалуйста, ознакомьтесь с приведенными ниже каналами и выберите тот, который соответствует вашему обнаружению. Каждое сообщение проверяется группой PSIRT и обрабатывается в режиме конфиденциальности.

Это не проблема безопасности? Вопросы общего характера, касающиеся качества, гарантии, лицензирования или технической поддержки, не входят в сферу компетенции PSIRT. Пожалуйста, воспользуйтесь стандартной Служба поддержки Dewesoft и каналы связи Вместо этого, чтобы ваш запрос без задержки поступил в нужную команду.

ТРИ КАНАЛА ОТЧЁТНОСТИ

Куда отправить отчет

КАНАЛ 01 · ВЕБ

Уязвимости в безопасности веб-сайтов

В случае обнаружения уязвимостей или инцидентов, затрагивающих веб-сайт или онлайн-сервисы компании Dewesoft — например, dewesoft.com, порталы службы поддержки, для разработчиков, форума или интернет-магазина.

К типичным обнаруженным проблемам относятся межсайтовый скриптинг, уязвимости, связанные с инъекцией кода, аутентификацией или контролем доступа, небезопасная настройка или утечка конфиденциальных данных.

psirt@dewesoft.com

КАНАЛ 02 · ПРОДУКТ

Уязвимости в безопасности продуктов

В отношении уязвимостей или инцидентов, связанных с продуктами Dewesoft, включая программное обеспечение DewesoftX и DewesoftM, встроенное ПО, API и SDK, а также аппаратное обеспечение для сбора данных, такое как SIRIUS, KRYPTON, IOLITE, OBSIDIAN и связанные с ними устройства.

Пожалуйста, укажите точное название продукта, модель и версию программного обеспечения или прошивки, в которых возникла проблема.

psirt@dewesoft.com

КАНАЛ 03 · ДАННЫЕ

Вопросы защиты данных

По вопросам защиты данных и конфиденциальности — например, в случае подозрения об утечке персональных данных, раскрытия личной информации или при возникновении вопросов о том, как компания Dewesoft обрабатывает ваши данные.

Вы также можете использовать этот канал для подачи запросов в качестве субъекта данных в соответствии с действующим законодательством о конфиденциальности.

legal@dewesoft.com

СДЕЛАЙТЕ СВОЙ ОТЧЕТ ПРАКТИЧЕСКИ ПРИМЕНИМЫМ

Какую информацию следует включить

Что касается уязвимостей веб-сайта или продукта, чем больше подробностей вы предоставите, тем быстрее мы сможем воспроизвести и устранить проблему. По возможности, пожалуйста, укажите:

01

Цель, подвергшаяся воздействию

Наименование продукта, модель, версия программного обеспечения или встроенного ПО — либо точный URL-адрес уязвимости веб-сайта.

02

Описание и доказательство

Четкое описание уязвимости с указанием шагов для ее воспроизведения, доказательства концепции, кода эксплойта или сетевых трассировок (при наличии).

03

Публичные ссылки

Любые связанные с этим ссылки, а также информация о том, был ли данный вопрос уже обнародован — и кем именно.

Отправляете большие файлы? Если вам нужно передать большой объем данных, сообщите об этом в письме, и мы согласуем с вами способ безопасной передачи.

ОТВЕТСТВЕННОЕ РАСКРЫТИЕ ИНФОРМАЦИИ

Сотрудничество в духе доброй воли

Мы просим исследователей соблюдать эти принципы, чтобы мы могли выявлять и устранять проблемы, не подвергая риску ни пользователей, ни системы.

Пожалуйста, сделайте это

  • Сообщите о том, что вы обнаружили, как можно скорее после обнаружения.

  • Предоставьте нам разумный срок для проведения расследования и принятия мер по исправлению ситуации, прежде чем обнародовать эту информацию.

  • Предоставьте достаточно подробную информацию, чтобы можно было воспроизвести проблему.

  • Действуйте добросовестно и избегайте нарушений конфиденциальности или сбоев в работе сервиса.

Пожалуйста, избегайте

  • Доступ к данным, которые вам не принадлежат, их изменение или удаление.

  • Снижение доступности сервиса, например, тестирование на отказ в обслуживании.

  • Социальная инженерия, фишинг или физические атаки, направленные против персонала или объектов.

  • Публичное раскрытие информации об этой проблеме до того, как мы её устраним.

Важная информация

01 Отчеты, представленные в Английский будут обработаны в кратчайшие сроки. Пожалуйста, опишите проблему как можно подробнее.

02 Ранее опубликованные уязвимости и проблемы, отнесенные к категории информационный может не подпадать под критерии признания.

03 Мы выражаем признательность исследователям, которые помогают нам повысить уровень безопасности. Укажите в своём отчёте, хотите ли вы, чтобы ваша заслуга была отмечена, и каким образом.

04 Мы настоятельно рекомендуем зашифрованное электронное письмо конфиденциальной информации. Перед отправкой обратитесь в PSIRT, чтобы запросить наш актуальный открытый ключ шифрования.