Yale

Chính sách tiết lộ thông tin

Chính sách tiết lộ thông tin có trách nhiệm

Yale tin rằng việc tiết lộ các lỗ hổng bảo mật là điều cần thiết để cải thiện chất lượng sản phẩm và dịch vụ của chúng tôi. Yale đánh giá cao những hiểu biết sâu sắc của cộng đồng nghiên cứu bảo mật và hoang nghênh việc tiết lộ và hợp tác.

Thông qua quy trình tiết lộ có trách nhiệm của chúng tôi, Yale sẽ làm việc với các nhà nghiên cứu bảo mật và các nhà điều tra lỗ hổng khác để làm cho các sản phẩm và dịch vụ của chúng tôi trở nên an toàn hơn; bằng cách cung cấp cơ chế báo cáo các lỗ hổng một cách riêng tư với tính hợp pháp và toàn vẹn. Tiết lộ có trách nhiệm đảm bảo rằng cơ sở hạ tầng bảo mật được kiểm tra và chứng minh là đáng tin cậy. Quá trình này cho phép chúng tôi hợp tác làm việc với các nhà nghiên cứu để xác định và giảm thiểu các lỗ hổng một cách nhanh chóng trong môi trường bảo mật luôn thay đổi.

Sau đây là chính sách tiết lộ có trách nhiệm của Yale:

  • Yale sẽ tiết lộ các lỗ hổng đã biết và các bản sửa lỗi cho khách hàng của mình theo cách bảo vệ người dùng cuối các sản phẩm của chúng tôi. Tiết lộ của Yale sẽ bao gồm thông tin về người đầu tiên tìm ra lỗ hổng, trừ khi họ yêu cầu khác.
  • Yale sẵn sàng trao đổi và làm việc với các nhà nghiên cứu bảo mật, những người đến Yale với mối quan tâm chung để cải thiện bảo mật và điều phối việc phân phối thông tin, bao gồm cả lỗ hổng và giải pháp giải quyết vấn đề đó.
  • Yale không có chương trình trao thưởng bằng hiện vật hay hiện kim cho nhà nghiên cứu, tuy nhiên Yale sẽ công khai bằng văn bản xác nhận về kết quả hỗ trợ của nhà nghiên cứu; bên cạnh kết quả công việc nghiên cứu bảo mật mang đến cho Yale thông tin hợp lệ về lỗ hổng bảo mật và sau đó làm việc với Yale để giải quyết vấn đề, phối hợp thông báo công khai sau khi bản sửa lỗi hoặc bản vá đã được phát triển và thử nghiệm.
  • Các nhà nghiên cứu bảo mật được phép đăng liên kết đến xác nhận về kết quả hỗ trợ Yale trên trang web của riêng họ để công nhận việc giúp giảm thiểu rủi ro và giúp người dùng cuối tự bảo vệ mình.

Chúng tôi yêu cầu cộng đồng các nhà nghiên cứu bảo mật hợp tác với Yale về việc phối hợp công khai lỗ hổng bảo mật; không tự ý tiết lộ đơn phương. Việc tiết lộ sớm một lỗ hổng một cách công khai mà không thông báo trước cho Yale có thể gây tổn hại cho người tiêu dùng, làm lộ thông tin nhạy cảm và đặt mọi người cũng như tổ chức vào nguy cơ bị tấn công nguy hiểm.

Để đạt được mục tiêu đó, ASSA ABLOY khuyến nghị mạnh mẽ quy trình gồm hai bước: bước một, tiết lộ riêng  về lỗ hổng tiềm ẩn cho ASSA ABLOY. Sau khi lỗ hổng bảo mật được xác thực và giải quyết, sẽ đến bước thứ hai là Yale điều phối việc tiết lộ công khai, bao gồm công nhận phát hiện của nhà nghiên cứu bảo mật, xác nhận rằng công lao được trao cho (những) người phù hợp.

Chúng tôi xin thông báo đến các nhà nghiên cứu rằng các hành động của chúng tôi  trong việc điều tra, xác thực và khắc phục các lỗ hổng được báo cáo sẽ khác nhau tùy theo mức độ phức tạp và mức độ nghiêm trọng. Chúng tôi sẽ thông báo các mốc thời gian dự kiến, các thay đổi và cộng tác nếu có thể. Ngoài ra, chúng tôi yêu cầu các nhà nghiên cứu không sử dụng các công cụ Từ chối dịch vụ hoặc xâm phạm cơ sở hạ tầng người dùng hoặc thông tin cá nhân của Yale trong khi thực hiện thử nghiệm hoặc đánh giá. Nếu loại thử nghiệm này là cần thiết, chúng tôi yêu cầu nhà nghiên cứu liên hệ với chúng tôi để chúng tôi có thể cung cấp các sản phẩm có thể thử nghiệm trong môi trường phi sản xuất cho các mục đích đó nếu có thể.

Giống như các công ty hàng đầu khác, Yale áp dụng các phương pháp tốt nhất trong ngành để phối hợp tiết lộ các lỗ hổng nhằm bảo vệ hệ sinh thái bảo mật, đảm bảo rằng khách hàng nhận được thông tin chất lượng cao nhất, thúc đẩy thảo luận công khai về cách cải thiện sản phẩm, giao thức, phương pháp luận, tiêu chuẩn và giải pháp.

Là một phần trong chương trình tiết lộ có trách nhiệm của mình, Yale đang tìm kiếm mối quan hệ với các nhà nghiên cứu bảo mật, những người tuân thủ phương pháp phối hợp, chia sẻ trách nhiệm để tiết lộ công khai lỗ hổng bảo mật. Yale mời các nhà nghiên cứu bảo mật và các nhà điều tra lỗ hổng khác tham gia cùng chúng tôi trong nỗ lực này.

KÊU GỌI HÀNH ĐỘNG

Nếu bạn tin rằng mình đã phát hiện ra một lỗ hổng bảo mật, hãy tham khảo trang “Hướng dẫn báo cáo” trong Trung tâm tài nguyên bảo mật ASSA ABLOY này để biết hướng dẫn về cách gửi riêng phát hiện của bạn cho Nhóm phản hồi bảo mật ASSA ABLOY hoặc bạn có thể kết nối trực tiếp với chúng tôi tại productsecurity @assaabloy.com.