Aufdeckung und Offenlegung von Schwachstellen
Richtlinie zur Aufdeckung und Offenlegung von Schwachstellen
Version 1.3 – November 2022
Einführung
Sylvania betrachtet die Sicherheit, den Schutz der Privatsphäre und den Schutz seiner Kunden als eine seiner höchsten Prioritäten. Wir entwickeln und fertigen Produkte und Dienstleistungen mit der bestmöglichen Qualität und Zuverlässigkeit. Trotz unserer Bemühungen, die bestmöglichen Sicherheitsmaßnahmen zu implementieren, können in unseren Produkten und Dienstleistungen immer noch Schwachstellen vorhanden sein.
Dieses Dokument beschreibt die Sylvania Policy für den Erhalt von Berichten über potenzielle Sicherheitslücken in seinen Produkten und Dienstleistungen, die Verfahren des Unternehmens bei der Bearbeitung eines Berichts und die Standardpraxis des Unternehmens in Bezug auf die Information der Kunden über verifizierte Sicherheitslücken.
Jeder ist aufgefordert, festgestellte Schwachstellen zu melden, unabhängig von der Art des Dienstes oder der Produkte. Forscher, Partner, Kunden oder jede andere Quelle sind willkommen, gefundene Schwachstellen zu melden.
Geltgungsbereich
Diese Richtlinie gilt für die folgenden Systeme und Services:
- sylvania-lighting.com
- https://comnet.sylvania-lighting.com
- http://lightingportal.feilosylvania.com/
- SylSmart Energy (energy.sylvania-lighting.com)
- SylSmart Home mobile application
- SylSmart Standalone mobile application
- SylSmart Connected mobile application and web application (https://connected.sylvania-lighting.com/)
- Solution Sylvania mobile application
- SylSmart City web application (city.sylvania-lighting.com / city.sylvania-latam.com)
- SylSmart City mobile application
Hinweis für Researcher: Alle Dienste, die oben nicht ausdrücklich aufgeführt sind, fallen nicht in den Geltungsbereich und sind nicht zur Prüfung zugelassen.
Guidelines
Wir fordern Sie auf:
- Informieren Sie Feilo Sylvania zuerst und so schnell wie möglich, nachdem Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben.
- Bemühen Sie sich nach Kräften, Verletzungen der Privatsphäre, Beeinträchtigung der Systemleistung, Beeinträchtigung der Benutzerfreundlichkeit, Unterbrechung der Produktionssysteme und Zerstörung oder Manipulation von Daten zu vermeiden.
- Verwenden Sie Exploits nur in dem Umfang, der notwendig ist, um das Vorhandensein einer Sicherheitslücke zu bestätigen.
- Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu extrahieren, um sich Zugriff auf die Befehlszeile und/oder Persistenz zu verschaffen oder um den Exploit zum "Pivot" auf andere Systeme zu verwenden.
- Sobald Sie das Vorhandensein einer Schwachstelle festgestellt haben oder auf sensible Daten gestoßen sind (einschließlich personenbezogener Daten, finanzieller Daten oder geschützter Daten oder Geschäftsgeheimnisse einer Partei), müssen Sie Ihren Test abbrechen, uns sofort benachrichtigen und diese Daten nicht an Dritte weitergeben.
- Geben Sie Feilo Sylvania eine angemessene Zeit, um das Problem zu lösen.
- Verwenden Sie keine DoS- oder DDoS-Tests (Network Denial of Service) oder andere Tests, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen.
Wenn diese Richtlinien befolgt werden, werden keine rechtlichen Schritte gegen Personen eingeleitet, die eine Schwachstelle entdecken und melden.
Melden einer Sicherheitslücke
Die bevorzugte Methode zur Kontaktaufnahme mit Feilo Sylvania bezüglich einer tatsächlichen oder potenziellen Schwachstelle in seinen Produkten oder Dienstleistungen ist das Senden einer E-Mail an:
info@sylvania-lighting.com.
Um Ihre Meldung der Schwachstelle effizient bearbeiten zu können, erwarten wir einen gut geschriebenen Bericht in englischer Sprache, der die folgenden Informationen enthält
- Uhrzeit und Datum der Entdeckung
- Verwendete mobile Anwendung
- Mobiles Betriebssystem
- Computermodell und Details des Betriebssystems
- Gerätemodellnummer und zugehörige MAC/UUID-Adressen
- Produktmodell und -nummer, wenn möglich unter Verwendung der Nomenklatur des Herstellers
- URL, Browser-Informationen einschließlich Typ und Version sowie die zur Reproduktion der Schwachstelle erforderliche Eingabe;
- Technische Beschreibung - Geben Sie so detailliert wie möglich an, welche Aktionen durchgeführt wurden und welches Ergebnis erzielt wurde, einschließlich Bildschirmfotos,
- Beispielcode - wenn möglich, stellen Sie den Code zur Verfügung, der bei den Tests verwendet wurde, um die Schwachstelle zu beheben;
- Kontaktinformationen des Berichterstatters - beste Kontaktangaben
- Offenlegungsplan(e) - aktueller Plan zur Offenlegung;
- Bewertung der Bedrohung/Risiko und Schweregrad - enthält Einzelheiten zu den ermittelten Bedrohungen und/oder Risiken einschließlich eines Risikograds (geringfügig, schwerwiegend, kritisch)
- Relevante Informationen über angeschlossene Geräte, falls während der Interaktion eine Schwachstelle auftritt.
Bitte geben Sie in Ihren Berichten keine personenbezogenen Daten an, es sei denn, dies ist notwendig, um Sie im Einklang mit der Datenschutz-Grundverordnung zu kontaktieren.
Die Teilnahme an diesem Meldemechanismus gewährt Ihnen keine Rechte an geistigem Eigentum, das Feilo Sylvania oder Dritten gehört.
Bearbeitung des Berichts - Nächste Schritte
Sobald Feilo Sylvania Ihren Bericht erhalten hat, wird sich Feilo Sylvania bemühen, den Erhalt aller eingereichten Berichte innerhalb von sieben Tagen zu bestätigen.
Ihre Meldung wird dann in unserem Problemverfolgungssystem verarbeitet. Der Schweregrad der Meldung wird von Feilo Sylvania nach eigenem Ermessen eingestuft, und ein zuständiges Teammitglied wird sich mit Ihnen in Verbindung setzen.
Um die Vertraulichkeit zu gewährleisten, empfehlen wir Ihnen, alle sensiblen Informationen, die Sie per E-Mail an uns senden, zu verschlüsseln. Feilo Sylvania wird einen offenen Dialog gewährleisten, um Probleme zu diskutieren und Sie in jeder Phase der Untersuchung auf dem Laufenden halten.
Feilo Sylvania entscheidet nach eigenem Ermessen, ob eine Meldung angenommen wird, je nach Schweregrad oder Inhalt der Meldung.
Feilo Sylvania dankt Ihnen für Ihre Unterstützung bei der Identifizierung einer Sicherheitslücke, für die Verbesserung unserer Produkte und Dienstleistungen und für Ihren Beitrag zu einer sichereren Gemeinschaft.
Alle Aspekte dieses Prozesses können ohne Vorankündigung geändert werden, ebenso wie Ausnahmen von Fall zu Fall. Es wird kein bestimmter Grad an Reaktion auf ein bestimmtes Problem oder eine Gruppe von Problemen garantiert.
Beachten Sie, dass es für gemeldete Sicherheitslücken keine finanzielle Belohnung gibt.
