Security Incident

Reporting Policy

Δεδομένου ότι η ασφάλεια είναι θεμελιώδους σημασίας για εμάς και για τους πελάτες μας, εμείς στη Vimar δεσμευόμαστε να εγγυηθούμε την ασφάλεια και την προστασία των προϊόντων και των υπηρεσιών μας. Η Vimar υποστηρίζει τη συντονισμένη αποκάλυψη τρωτών σημείων και ενθαρρύνει τον υπεύθυνο έλεγχο ευπάθειας, λαμβάνοντας σοβαρά υπ'οψιν κάθε αναφορά πιθανών τρωτών σημείων ασφαλείας.

Ακολουθήστε αυτά τα βήματα για να αναφέρετε μια πιθανή ευπάθεια ασφαλείας.

Διαδικασία αναφοράς

  1. Χρησιμοποιήστε το δικό μας δημόσιο κλειδί PGP (download)  για να κρυπτογραφήσετε τυχόν email που μας στέλνετε στη διεύθυνση security-report-on-iot@vimar.com
  2. Καταχωρίστε τον αριθμό αναφοράς και επαρκή στοιχεία επικοινωνίας, όπως:  
    a. Τα στοιχεία επικοινωνίας σας
    b. Όνομα του ατόμου που βρήκε την ευπάθεια 
    c. Ημερομηνία εντοπισμού της ευπάθειας και λεπτομέρειες σχετικά με τον τρόπο με τον οποίο ανακαλύφθηκε. 
    d. Χρησιμοποιήστε την αγγλική γλώσσα.
  3. Συμπεριλάβετε μια τεχνική περιγραφή του προβλήματος ή της ευπάθειας. Παρέχετε όσο το δυνατόν περισσότερες πληροφορίες σχετικά με το προϊόν ή την υπηρεσία, όπως τον αριθμό έκδοσης και τη διαμόρφωση που χρησιμοποιείται (π.χ. εργαλεία). Εάν έχετε γράψει μια συγκεκριμένη έννοια ή  κώδικα, δώστε ένα αντίγραφο. Βεβαιωθείτε ότι όλοι οι απεσταλμένοι κωδικοί φέρουν σαφή σήμανση ως έχουν και κρυπτογραφούνται με το κλειδί PGP
  4. Εάν έχετε εντοπίσει συγκεκριμένες απειλές που σχετίζονται με την ευπάθεια,και έχετε αξιολογήσει τον κίνδυνο, παράσχετε αυτές τις πληροφορίες.
ΛήψηΔιαστάσειςΗμερομηνία
PGP public key1.97 K15/06/2021

Έκθεση αξιολόγησης και δράσης

  1. Vimar: 
    a. α επιβεβαιώσει ότι έλαβε την αναφορά σας εντός 14 εργάσιμων ημερών.
    b. α παρέχει έναν μοναδικό αριθμό παρακολούθησης για την αναφορά σας.
    c. α αναθέσει έναν υπεύθυνο επικοινωνίας σε κάθε υπόθεση που παρουσιάζεται.
    d. α ειδοποιήσει τις εσωτερικές τεχνικές ομάδες.
  2. Η Vimar θα σας ενημερώνει σχετικά με την κατάσταση της αναφοράς σας.
  3. Εάν η ευπάθεια είναι πράγματι σε ένα στοιχείο ή υπηρεσία τρίτου μέρους που αποτελεί μέρος του προϊόντος / της υπηρεσίας μας, θα στείλουμε την αναφορά σε αυτό το τρίτο μέρος και θα σας ενημερώσουμε για μια τέτοια ειδοποίηση. Για το σκοπό αυτό, ενημερώστε μας στο e-mail σας εάν μας επιτρέπεται σε τέτοιες περιπτώσεις να παρέχουμε τα στοιχεία επικοινωνίας σας σε τρίτους.
  4. Αφού λάβετε μια αναφορά ευπάθειας,η Vimar:
    a. ελέγξει την αναφερόμενη ευπάθεια.
    b. συντάξει  ένα πόρισμα.
    c. πραγματοποιήσει δοκιμές επικύρωσης ποιοτικού ελέγχου / ανάλυσης.
    d. εκδώσει το πόρισμα.
    e. μοιραστεί τα αποτελέσματα  με τις ομάδες ανάπτυξης.
  5. Η Vimar θα χρησιμοποιήσει τις υπάρχουσες διαδικασίες ειδοποίησης πελατών για την  ενημέρωσή τους σχετικά με την ασφάλεια χρίσης , οι οποίες μπορεί να περιλαμβάνουν, χωρίς περιορισμό και κατά την αποκλειστική διακριτική ευχέρεια της Vimar, άμεση ειδοποίηση στον πελάτη ή τη δημόσια έκδοση μιας ειδοποίησης στον ιστότοπό μας.
Rapporto Valutazione E Azione

Σημαντικό

  1. Αποφύγετε να συμπεριλάβετε ευαίσθητα προσωπικά στοιχεία σε στιγμιότυπα οθόνης ή άλλα συνημμένα που παρέχονται από τον χρήστη.
  2. Μην εκτελείτε δοκιμές ευπάθειας σε εφαρμογές, προϊόντα ή υπηρεσίες που χρησιμοποιούνται ενεργά. Ο έλεγχος ευπάθειας πρέπει να πραγματοποιείται μόνο σε συσκευές ή εφαρμογές, προϊόντα ή υπηρεσίες που δεν χρησιμοποιούνται επί του παρόντος ή δεν προορίζονται για χρήση.
  3. Για εφαρμογές, προϊόντα ή υπηρεσίες που βασίζονται στον Ιστό, χρησιμοποιήστε περιβάλλοντα demo / test για να εκτελέσετε δοκιμές ευπάθειας.
  4. Μην εκμεταλλευτείτε την ευπάθεια ή το πρόβλημα που ανακαλύψατε. Για παράδειγμα, κάνοντας λήψη περισσότερων δεδομένων από ό, τι είναι απαραίτητο για να αποδείξετε την ευπάθεια ή διαγράφοντας ή τροποποιώντας οποιαδήποτε δεδομένα. Προσπαθήστε να μην διαγράψετε ή να χρησιμοποιήσετε δεδομένα που ανήκουν σε άλλους χρήστες.
  5. Ως μέρος του υπεύθυνου συντονισμού της αποκάλυψης ευπάθειας, σας προσκαλούμε να συνεργαστείτε με το Vimar για να επιλέξετε δημόσιες ημερομηνίες κυκλοφορίας για πληροφορίες σχετικά με τις ευπάθειες που ανακαλύφθηκαν.
  6. Σε μια προσπάθεια εύρεσης τρωτών σημείων, οι ενέργειες δεν πρέπει να είναι δυσανάλογες, όπως, χωρίς περιορισμό:
    a. Χρησιμοποιώντας την κοινωνική μηχανική για να αποκτήσετε πρόσβαση ή πληροφορίες.
    b.Εγκαταστήστε ή δημιουργήσετε backdoors σε μια εφαρμογή πληροφοριών, ένα προϊόν ή μια υπηρεσία με σκοπό να το χρησιμοποιήσετε για να δείξετε την ευπάθεια.
    c. Χρησιμοποιήσετε μια ευπάθεια πέρα ​​από αυτό που είναι απαραίτητο για να αποδείξετε την ύπαρξή της.
    d. Κάνετε αλλαγές στην εφαρμογή, το προϊόν ή την υπηρεσία.
    e.  Επαναλαμβανόμενη πρόσβαση στην εφαρμογή, το προϊόν ή την υπηρεσία ή την κοινή χρήση πρόσβασης με άλλους. 
  7.   Κάνετε βίαιες επιθέσεις για να αποκτήσετε πρόσβαση στην εφαρμογή, το προϊόν ή την υπηρεσία. Αυτό δεν είναι μια ευπάθεια υπό την αυστηρή έννοια, αλλά επαναλαμβανόμενες προσπάθειες παραβίασης κωδικού πρόσβασης.
Vimar Security Incident Policy Vimar

Ειδοποίηση

Εάν κοινοποιείτε οποιεσδήποτε πληροφορία με τη Vimar στο πλαίσιο της υπεύθυνης αποκάλυψης, συμφωνείτε ότι οι πληροφορίες που υποβάλετε θα θεωρηθούν μη ιδιοκτησιακές και μη εμπιστευτικές. Η Vimar εξουσιοδοτείται να χρησιμοποιεί τις πληροφορίες που κοινοποιούνται ή μέρος αυτών, χωρίς περιορισμούς. Συμφωνείτε ότι η αποστολή πληροφοριών δεν δημιουργεί δικαιώματα για εσάς ή καμία υποχρέωση για τη Vimar. Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία από τη Vimar με βάση την πολιτική απορρήτου προϊόντων και εφαρμογών του ιστότοπου.