นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ 70mai

70mai มุ่งมั่นที่จะพัฒนาผลิตภัณฑ์และบริการที่ยึดตามมาตรฐานความปลอดภัยสูงสุด เพื่อปกป้องลูกค้าและข้อมูลของลูกค้า เรายินดีรับข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นจากนักวิจัยด้านความปลอดภัย นักวิชาการ และอื่นๆ ในชุมชนด้านความปลอดภัยในวงกว้าง

ฝ่ายรักษาความปลอดภัยของ 70mai พร้อมทำงานกับผู้ที่แจ้งช่องโหว่ด้านกล่าวและพยายามให้ข้อมูลแก่การส่งข้อมูลที่เกี่ยวข้องทั้งหมด

กรณีที่ควรติดต่อฝ่ายตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์

นักวิจัยและผู้ใช้สามารถรายงานข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัยให้ 70mai ทราบผ่าน https://www.70mai.com/contact-us/ หรือส่งอีเมลไปที่ security@70mai.com

แผนการตอบสนองต่อเหตุการณ์

แผนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยมีดังต่อไปนี้

1. ฝ่ายบริการลูกค้าจะตรวจสอบข้อมูลบนเว็บไซต์ในส่วนติดต่อเราทุกวันและรายงานไปยังฝ่ายรักษาความปลอดภัยของ 70mai หากพบโพสต์ที่เกี่ยวข้องกับความปลอดภัย ขณะเดียวกัน ฝ่ายรักษาความปลอดภัยจะตรวจสอบ security@70mai.com ทุกวัน

2. ฝ่ายรักษาความปลอดภัยจะกำหนดความรุนแรงของเหตุการณ์และแจ้งให้ PM (ผู้จัดการโปรแกรม) ทราบ

3. ในการให้คะแนนหรือจัดอันดับช่องโหว่ 70mai จะปฏิบัติตามมาตรฐานแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม เพื่อกำหนดผลกระทบที่อาจเกิดขึ้นของช่องโหว่เป็นสูง ปานกลาง หรือต่ำ

4. ขั้นตอนที่ต้องปฏิบัติตามจะขึ้นอยู่กับความรุนแรงของเหตุการณ์
ก) สูง: PM จัดการประชุมกับหัวหน้าฝ่ายวิศวกรรม ฝ่ายรักษาความปลอดภัย และวิศวกรที่เกี่ยวข้องทันที จัดทำแผนแก้ไขในการประชุม เริ่มแก้ไขบนระบบคลาวด์ทันที ทำการแก้ไขแอปและเฟิร์มแวร์โดยเร็วที่สุด และส่ง OTA แก่ผู้ใช้ภายในเวลาที่แสดงในตารางข้างต้น
b) ข) ปานกลาง: PM จัดการประชุมกับฝ่ายรักษาความปลอดภัย และวิศวกรที่เกี่ยวข้อง จัดทำแผนแก้ไขในการประชุม และทำการแก้ไข/OTA ภายในเวลาที่แสดงในตารางข้างต้น
c) ค) ต่ำ: PM พูดคุยกับฝ่ายรักษาความปลอดภัยและวิศวกรที่เกี่ยวข้องเพื่อจัดทำแผนแก้ไข ทำการแก้ไข/OTA ที่เกี่ยวข้องภายในเวลาที่แสดงในตารางข้างต้น ฝ่ายรักษาความปลอดภัยจะแจ้ง avs-security@amazon.com เกี่ยวกับเหตุการณ์ข้างต้นทั้งหมดภายใน 24 ชั่วโมง พร้อมกับแนบรายงานเบื้องต้น รวมถึงคำอธิบายเหตุการณ์ และความรุนแรงในอีเมล ทำการส่งรายงานอีกฉบับหนึ่งซึ่งระบุแผนการแก้ไขปัญหา และตารางการเปิดเผยข้อมูล/OTA ที่เกี่ยวข้องให้กับ avs-security@amazon.com โดยเร็วที่สุด

การรับข้อมูลความปลอดภัยจาก 70mai

คำแนะนำด้านความปลอดภัย

ในกรณีส่วนใหญ่ เราจะออกประกาศเมื่อเราพบวิธีแก้ปัญหาหรือวิธีแก้ไขช่องโหว่ด้านความปลอดภัยดังกล่าว อย่างไรก็ตาม อาจมีบางกรณีที่เราออกประกาศโดยที่ไม่มีวิธีแก้ไขปัญหาเมื่อช่องโหว่ดังกล่าวเป็นที่ทราบกันในวงกว้างในชุมชนการรักษาความปลอดภัย

บันทึกประจำรุ่น (readme หรือประวัติการเปลี่ยนแปลง)

ข้อมูลที่อยู่ในบันทึกประจำรุ่นซึ่งเกี่ยวข้องกับการอัปเดตด้านความปลอดภัยจะอ้างอิง CVE หรือหมายเลขติดตามภายใน ซึ่งข้อมูลทั้งสองจะอยู่ในคำแนะนำด้านความปลอดภัยที่เราเผยแพร่ไว้ หากเกี่ยวข้อง เมื่อ 70mai เชื่อว่าลูกค้าจะได้รับประโยชน์สูงสุดหากทำการอัปเดตข้อมูลโดยเร็วที่สุด อาจมีการเผยแพร่วิธีการบรรเทาแก้ไขก่อนคำแนะนำด้านความปลอดภัย เมื่อมีการเผยแพร่คำแนะนำแล้ว จะสามารถดูข้อมูลเกี่ยวกับช่องโหว่ได้โดยการอ้างอิงหมายเลขการติดตามจากบันทึกประจำรุ่น

ข้อมูลที่อยู่ในบันทึกประจำรุ่นซึ่งเกี่ยวข้องกับวิธีการบรรเทาแก้ไขช่องโหว่ประเภทโอเพนซอร์สจะรวมอยู่ใน CVE ที่เผยแพร่

70mai ไม่เผยแพร่คำแนะนำด้านความปลอดภัยสำหรับช่องโหว่ประเภทโอเพนซอร์ส

ข้อมูลอ้างอิง

หากมีข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ จะมีการระบุลิงก์เป็นข้อมูลอ้างอิงในคำแนะนำ ซึ่งรวมถึงลิงก์ไปยัง CVE หรือการกล่าวอ้างถึงบล็อกหรือบทความ

การรับรอง

โดยปกติแล้ว เราจะขอการรับรองจากนักวิจัยหรือผู้ค้นพบช่องโหว่ และอ้างอิงแหล่งที่มาให้กับบุคคลดังกล่าว เมื่อได้รับอนุญาต

ประวัติการแก้ไข

เมื่อมีการอัปเดตคำแนะนำ ประวัติการแก้ไขจะแสดงข้อมูลและเวลาที่มีการอัปเดต

เราจะพยายามอย่างเต็มที่เพื่อแก้ไขช่องโหว่ของผลิตภัณฑ์ที่รองรับโดยเร็วที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม จะไม่มีการรับประกันการสนองในระดับใดก็ตามสำหรับปัญหาหรือประเภทปัญหาใดๆ เนื่องจากปัจจัยต่างๆ เช่น ความซับซ้อนในการแก้ไข การทดสอบคุณภาพ ข้อห้าม และความร่วมมือระหว่างผู้ให้บริการ