Security Incident

报告政策

由于安全对我们和我们的客户至关重要,我们Vimar致力于确保我们的产品和服务的安全和保障。Vimar支持调整漏洞披露,并鼓励负责的漏洞测试,我们认真对待任何潜在安全漏洞的报告。

请按照以下步骤报告潜在的安全漏洞。

报告程序

  1. 请使用我们的PGP公共密码匙(下载)为任何提交给我们的电子邮件加密,请登入 security-report-on-iot@vimar.com 提供您的参考/咨询号码和详细的联络资料,
  2. 例如;
    a. 您的联系信息; 
    b. 发现漏洞者的名字; 
    c. 漏洞被检测到的日期以及如何被发现的详细信息。
    包括关注点或漏洞的技术描述。尽可能多地提供关于产品或服务的信息,比如版本号和所用设置的配置(即工具)。
    d. 使用英语。
  3. 如果您编写了特定的概念验证或开发代码,请提供一份副本。
  4. 请确保所有提交的代码都有明确的标记,并使用PGP密钥(下载)加密; 如果您已确定与该漏洞有关的具体威胁,评估风险,或已看到该漏洞正在被利用,请提供该信息。
下载尺寸日期
PGP public key2 kB15/06/2021

报告评估和动作

  1. Vimar将会:
    a. 确认在14个工作日内收到你的报告; 
    b. 为您的报告提供一个独特的跟踪号码; 
    c. 为每个提交的案例指定一个联系人; 
    d. 通知相关的内部技术团队。
  2. Vimar会随时向您汇报报告的进展。
  3. 如果该漏洞真实存在于我们产品/服务的第三方组成部分或服务中,我们会将报告转交给该第三方,并通知您有关情况。为此,请在电邮中告知我们,在这种情况下,是否可以向第三方提供您的联络资料。
  4. 一旦收到漏洞报告,Vimar就会:
    a. 验证所报告的漏洞; 
    b. 制定解决方案; 
    c. 执行解决方案的QA/验证测试; 
    d. 发布解决方案; 
    e. 与开发团队分享经验教训。
  5. Vimar将使用现有的客户通知程序来管理补丁或安全修复程序的发布,这些程序可能包括但不限于Vimar自行决定是否在我们的网站上直接通知客户或公开发布建议通知。
Rapporto Valutazione E Azione

重要事项

  1. 不要在您提供给我们的任何屏幕截图或其他附件中包含敏感的个人信息。
  2. 不要对正在使用的应用程序,产品或服务进行漏洞测试。漏洞测试应该只对当前没有使用或不作使用的设备或应用程序,产品或服务进行。
  3. 对于基于web的应用程序,产品或服务,请使用演示/测试环境进行漏洞测试。
  4. 不要利用您发现的漏洞或问题;例如,下载超过必要的数据来显示漏洞或删除或修改任何数据。尽量不要删除或使用属于其他用户的数据。
  5. 作为负责任协调漏洞披露工作的一部分,我们鼓励您与Vimar 合作,为已发现的漏洞选择公开发布日期。
  6. 在努力寻找漏洞的过程中,行动不能是不相称的,例如,包括以下限制:
    a. 利用社会关系来获取访问或信息;
    b. 在信息应用,产品或服务中安装或构建后门,目的是利用后门来证明漏洞的存在;
    c. 利用一个漏洞,而不是利用必要的东西来确定它的存在。
    d. 对应用程序,产品或服务进行更改;
    e. 重复获得对应用程序,产品或服务的访问权限或与他人共享访问权限;
    f. 使用暴力破解来访问应用程序,产品或服务。这不是严格意义上的漏洞,而是在重复尝试破解密码。
  7. Vimar将为公开发布的补丁或安全修复发布信息中提供完整的漏洞报告或执行测试的研究人员提供完全的信用保证,如果需要。
Vimar Security Incident Policy Vimar

注意

如果您负责的披露与Vimar共享任何信息,则视为您同意您所提交的信息将为非专有和非机密。允许Vimar使用该共享信息,或其中的一部分,不受任何限制。您同意提交信息并不为您创造任何权利,也不为Vimar创造任何义务。个人数据由Vimar根据网站产品和应用程序隐私政策进行处理