Политика раскрытия информации об уязвимостях 70mai

Компания 70mai стремится разрабатывать товары и услуги, которые соответствуют высочайшим стандартам безопасности в плане защиты клиентов и их данных. Мы приветствуем сведения о любых потенциальных уязвимостях системы от аналитиков в сфере информационной безопасности, исследователей и других специалистов.

Отдел безопасности 70mai готов сотрудничать с теми, кто может обнаружить уязвимости, и поощряет передачу информации о них.

График работы отдела реагирования по вопросам безопасности продукции

Исследователи и пользователи могут сообщить компании 70mai об уязвимостях или ошибках по этой ссылке https://www.70mai.com/contact-us/ или по эл. почте security@70mai.com.

План реагирования

План реагирования по вопросам безопасности выглядит следующим образом:

1. Специальный отдел службы поддержки ежедневно отслеживает обращения клиентов на сайте и информирует отдел безопасности 70mai в случае обнаружения соответствующих сообщений. Отдел безопасности каждый день проверяет почтовый ящик security@70mai.com.

2. Отдел безопасности оценивает серьезность инцидента и уведомляет о нем менеджера программы (МП)

3. При оценке уязвимостей компания 70mai использует стандартные методики и разделяет угрозы по уровню воздействия на высокие, средние и низкие.

4. В зависимости от уровня инцидента, будут приниматься следующие действия:
a) Высокий уровень: МП немедленно проводит встречу с техническим руководителем, отделом безопасности и соответствующими специалистами-инженерами. План решения проблемы должен быть выработан к следующему собранию. Исправление облачных сервисов начнется незамедлительно. Приложение и встроенное ПО будут обновлены в кратчайшие сроки, а OTA будет направлено пользователям в течение срока, указанного в таблице выше.
b) Средний уровень: МП проводит встречу с отделом безопасности и соответствующими специалистами-инженерами. План решения проблемы должен быть выработан к следующему собранию. Исправления/OTA будут выполнены в срок, указанный в таблице выше.
c) Низкий уровень: МП консультируется с отделом безопасности и соответствующими специалистами-инженерами для выработки решения проблемы. Соответствующие исправления/OTA будут выполнены в срок, указанный в таблице выше. Отдел безопасности уведомляет avs-security@amazon.com обо всех вышеописанных происшествиях в течение 24 часов. К письму прилагается первичный отчет с описанием инцидента и оценкой уровня его серьезности. Еще один отчет с планом решения проблемы и сроками выхода соответствующих версий/OTA направляется на avs-security@amazon.com в кратчайшие сроки.

Получение сведений о безопасности от 70mai

Рекомендации по безопасности

В большинстве случаев после выработки обходного решения или исправления для конкретной проблемы безопасности мы будем рассылать соответствующие уведомления, однако иногда уведомления будут рассылаться без описания обходного решения, если о соответствующей уязвимости стало известно широкому кругу специалистов по безопасности.

Сведения о версии (важные сведения или история изменений)

Информация об обновлениях системы безопасности в сведениях о версии будет привязана к контрольному номеру системы идентификации уязвимостей (CVE) или к внутреннему контрольному номеру. Оба номера можно найти в наших рекомендациях по безопасности. Компания 70mai считает, что в интересах клиента следует как можно быстрее обновлять систему, так как решение проблемы может быть внедрено до публикации рекомендаций по безопасности. После публикации рекомендаций найти сведения об уязвимостях можно будет по контрольному номеру из сведений о версии.

Информация о защите от уязвимостей открытого доступа из сведений о версии будет включать в себя опубликованные CVE.

Компания 70mai не публикует рекомендации по безопасности для уязвимостей открытого доступа.

Ссылки

При наличии дополнительной информации об уязвимостях в рекомендации будут добавлены соответствующие ссылки. Здесь имеются в виду ссылки на CVE, блоги или статьи.

Поощрение

Как правило, мы поощряем тех, кто обнаруживает уязвимость, и с их согласия предоставляем им вознаграждение.

Журнал изменений

Журнал изменений показывает, когда и какие изменения были внесены в рекомендации.

Мы предпринимаем все усилия, чтобы устранять неуязвимости в поддерживаемых продуктах как можно быстрее. Тем не менее мы не можем гарантировать одинаковую эффективность исправлений в каждом конкретном случае из-за их сложности, качества тестирования, эмбарго и взаимодействия различных поставщиков.