Politica di divulgazione delle vulnerabilità

Politica di divulgazione delle vulnerabilità

Prendiamo molto seriamente i problemi di sicurezza e riconosciamo l'importanza della privacy e della sicurezza dei dati. Invitiamo i ricercatori della sicurezza a fornirci feedback su potenziali problemi di sicurezza per migliorare la sicurezza dei prodotti e dei servizi mibro.

Come segnalare un problema di sicurezza

Fase 1: Se ritieni di aver trovato una vulnerabilità nei prodotti per bambini mibro ( mibrokids) o se hai un incidente di sicurezza che deve essere segnalato, invia noi una e - mail con la prova . Monitoriamo costantemente il canale di ricezione delle vulnerabilità e rivediamo e distribuiamo le vulnerabilità accettate in modo tempestivo.

Fase 2: Effettueremo una verifica tecnica della validità della vulnerabilità per confermarne lo sfruttabilità e il potenziale impatto.

Fase 3: Svilupperemo piani di correzione delle vulnerabilità o misure di mitigazione del rischio e ne verificheremo l'efficacia.

Fase 4: Esamineremo ulteriormente tutti i prodotti potenzialmente interessati e chiariremo la portata dei prodotti interessati dalla vulnerabilità.

Fase 5: Dopo aver confermato che tutti i processi di risposta alle vulnerabilità sono stati completati, esamineremo la vulnerabilità e pubblicheremo raccomandazioni di sicurezza per essa.

Metodo di invio delle vulnerabilità

E-mail: service@mibrofit.com

Classificazione della vulnerabilità e motivi:

A-Critico (rischio elevato)

-------------------------------

  1. Malfunzionamenti gravi che incidono in modo significativo sul normale utilizzo da parte degli utenti.
  2. Malfunzionamenti che contraddicono i requisiti del prodotto.
  3. Malfunzionamenti che non rispettano le leggi nazionali, gli standard o i criteri industriali.
  4. Difetti di sicurezza del software nel prodotto.
  5. Malfunzionamenti che hanno un impatto grave sulla produzione e sulla riparabilità della linea di produzione.
  6. Reclami degli utenti e feedback post-vendita che segnalano malfunzionamenti inaccettabili.
  7. Malfunzionamenti che hanno un impatto significativo sull'esperienza dell'utente.
  8. Malfunzionamenti causati da problemi del server che impediscono il normale recupero dei dati dal firmware e dalle app.
  9. Distruzione o perdita dei dati dell'utente causata da normali operazioni o aggiornamenti dell'utente.
  10. Errori o distorsioni dell'interfaccia utente causati da normali operazioni dell'utente o da errori dell'interfaccia dell'applicazione.
  11. Errori di calcolo significativi, errori di processo o logici, oppure incompletezza.
  12. Maggiore probabilità (>=5%) di malfunzionamenti sporadici nelle funzioni regolari.
  13. Problemi di prestazioni del prodotto (tempo di risposta, durata dello standby, velocità di posizionamento, consumo energetico, ecc.) che non soddisfano gli standard e presentano lacune significative rispetto a macchine o standard comparabili.
  14. Errori nella redazione e nell'interazione delle funzioni primarie che non sono in linea con i requisiti del prodotto.

B-Major (rischio medio)

-------------------------------

  1. Malfunzionamenti che incidono in modo significativo sull'esperienza dell'utente.
  2. Malfunzionamenti che influiscono in una certa misura sull'esperienza dell'utente.
  3. Malfunzionamenti relativi all'interfaccia utente, traduzione delle stringhe, problemi di compatibilità con diversi modelli di dispositivi.
  4. Minore probabilità (<5%) di malfunzionamenti sporadici nelle funzioni regolari.
  5. Problemi di prestazioni del prodotto (tempo di risposta, durata dello standby, velocità di posizionamento, consumo energetico, ecc.) che non soddisfano gli standard ma sono vicini a macchine o standard comparabili.
  6. Errori nei problemi post-vendita, nell'assistenza utente, nelle informative sulla privacy, ecc.
  7. Errori nella redazione e nell'interazione delle funzioni secondarie e (minori) che non sono in linea con i requisiti del prodotto.

C-Minore (rischio basso)

-------------------------------

  1. Problemi che solitamente gli utenti trascurano e che non influiscono sul normale utilizzo.
  2. Differenze tra aspetti non funzionali e documenti di definizione del prodotto, specifiche software.
  3. Problemi poco frequenti e con bassa probabilità (<5%) che si verificano in percorsi non comuni (inclusi test delle prestazioni e test di compatibilità).
  4. Piccoli malfunzionamenti del prodotto che gli utenti possono tollerare.

Tempo di risposta

La ricezione del report verrà confermata entro 7 giorni lavorativi e verrà effettuata una valutazione preliminare. Entro 14 giorni lavorativi, la valutazione verrà completata e la vulnerabilità verrà risolta o verrà sviluppato un piano di risanamento.

Le vulnerabilità critiche saranno risolte entro 7 giorni lavorativi.

Le vulnerabilità ad alto rischio verranno risolte entro 30 giorni lavorativi.

Le vulnerabilità a basso rischio verranno risolte entro 180 giorni lavorativi.

Si noti che alcune vulnerabilità sono limitate da fattori ambientali o hardware. Il tempo di riparazione finale sarà determinato in base alle condizioni effettive.

Apprezziamo l'opportunità che ci date di migliorare i nostri prodotti e servizi in modo da poter proteggere meglio i nostri utenti. Grazie per aver collaborato con noi durante il processo di cui sopra!