KÄrcher产品和服务安全报告和建议
负责信息披露政策
序言
ManBetX官网Alfred Kärcher SE & Co. KG(这里简称“Kärcher”)负责物联网产品以及本政策下的报告程序。Alfred Kärcher Vertriebs-GmbH是Kärcher的全资子公司,仅负责托管本报告网页,不参与通过报告网页提交的任何报告的处理过程。
1.价值观和原则
网络安全(这里简称“安全”)对于Kärcher的物联网产品和数字服务非常重要。我们追求设计安全的方法,并致力于在我们的物联网产品和数字服务的生命周期中保持安全和保障。然而,网络安全是一个移动的目标,安全环境将不断发展。任何时候都可以发现新的洞见、攻击能力和漏洞。虽然我们的产品从一开始就设计安全,但它们永远无法达到100%的完美安全。
Kärcher致力于持续支持和改善其物联网产品和数字服务的安全状态。ManBetX官网因此,Kärcher希望与安全团体密切合作。我们欢迎并鼓励研究人员、当局、商业合作伙伴和其他私人和公共行为体就与我们的物联网产品和数字服务相关的安全问题、漏洞或可能的利用等与我们联系。我们将第三方提供的每一项相关安全信息视为我们网络安全架构的宝贵组成部分。
2.报告和披露的条件
Kärcher将尽可能方便地与安全社区进行通信。不过,以下几点很重要,以便我们能迅速有效地回应报告:
2.1一般:
- 报告可以用英语和德语发送
- 不需要合同或保密协议
- 报告必须参考
- 一个Kärcher物联网产品,这意味着该产品裸露Kärcher标志,并具有某种连接(wifi,蓝牙,zigbeemanbetx186等)或
- Kärcher通过互联网提供的数字服务
- 我们鼓励记者使用加密的电子邮件通信。
- 在以下情况下,Kärcher将不追究与报告发现、漏洞和利用等相关的任何形式的法律索赔或指控:
- 记者不会对Kärcher和/或其关联公司、客户、供应商或合作伙伴造成损害
- 记者不损害Kärcher和/或其关联公司、客户、供应商或合作伙伴或Kärcher的服务运营的隐私或安全
- 记者保留发表他/她的发现,直到Kärcher已经能够提供修复它
- 参加测试的记者不得违反任何法律,不得破坏、泄露不属于自己的任何数据和保密信息。
2.2报表必备内容
- 受影响的物联网产品(最好带有类型名称或序列号)或数字服务(通过完整域名或URL识别)
- 记者进一步沟通的联系方式(可识别或匿名)
- 对影响、洞察力或漏洞的详细描述(如果可能,使用日志、图像或其他附加材料再现发现)
- 查找的标题或类别(如果可能,基于OWASP或CWE数据库)
- 如果知道:影响,依赖性或其他影响的发现
- 如果已知:寻找或估计cvss类参数的CVSS3评分(例如,需要的特权,需要的用户交互,攻击工具可用性等)
- 如果知道:了解发现、漏洞、利用等。
注意:我们将分析每个报告输入。我们收到的信息越多,我们对报告的反应就越好。如果我们没有收到足够的信息,我们可能会将报告搁置或不跟进。
2.3披露过程
- 3个工作日内确认收到报告
- 在10个工作日内回复第一次评估或其他问题
- 最终的反应和安全措施取决于发现的复杂性
- 一旦发现的问题得到解决,每个记者都会收到通知
进一步适用的规定
触点形式
为了确保快速和适当的回应,我们建议使用我们的联系表格。