Politica de divulgare a vulnerabilităților

Ultima actualizare: 5 septembrie 2019

Kraken Security Labs efectuează în mod regulat cercetări privind securitatea aplicațiilor, hardware-ului și produselor utilizate în mod obișnuit. Cercetarea este realizată pentru a educa și proteja utilizatorii finali ai acestor servicii și produse. Această politică descrie modul în care Kraken Security Labs gestionează divulgarea responsabilă a vulnerabilităților atunci când descoperim vulnerabilități de securitate în produse și servicii terțe.

Kraken Security Labs va notifica furnizorul corespunzător cu privire la o defecțiune de securitate în produsul(produsele) și/sau serviciul(serviciile) acestuia. Prima încercare de contact se va face prin intermediul oricăror contacte adecvate sau mecanisme formale enumerate pe site-ul web al furnizorului. Dacă astfel de informații de contact nu sunt publicate, Kraken Security Labs va depune toate eforturile pentru a localiza un mijloc de contact adecvat. Odată ce a fost găsit un mecanism de contact formal sau adecvat, informațiile pertinente despre vulnerabilitate vor fi transmise în siguranță furnizorului.

Dacă furnizorul nu confirmă notificarea inițială în termen de cinci (5) zile lucrătoare, Kraken Security Labs va iniția un al doilea contact cu furnizorul. Dacă Kraken Security Labs epuizează toate mijloacele de mai sus pentru a contacta furnizorul, atunci Kraken Security Labs poate emite o avertizare publică divulgând constatările sale la cincisprezece (15) zile lucrătoare după încercarea de contact inițial.

Dacă se primește un răspuns de la furnizor în intervalul de timp menționat mai sus, Kraken Security Labs solicită furnizorului să specifice un interval de timp dorit pentru remediere. Kraken Security Labs va acorda furnizorului până la nouăzeci (90) de zile calendaristice pentru a remedia vulnerabilitatea cu o corecție. La sfârșitul termenului limită sau mai devreme (dacă este notificat de furnizor), dacă vulnerabilitatea a fost corectată, sau dacă furnizorul nu răspunde sau nu poate oferi o declarație rezonabilă cu privire la motivul pentru care vulnerabilitatea nu este remediată, Kraken Security Labs va publica o avertizare disponibilă public, incluzând recomandări de atenuare, în efortul de a proteja utilizatorii finali.

Kraken Security Labs va depune toate eforturile pentru a colabora cu furnizorii pentru a se asigura că aceștia înțeleg detaliile tehnice și gravitatea unei defecțiuni de securitate raportate. Dacă un furnizor de produse nu poate, sau alege să nu, corecteze o anumită defecțiune de securitate, Kraken Security Labs poate oferi să colaboreze cu acel furnizor pentru a divulga public defecțiunea cu unele soluții eficiente.

În cazul în care Kraken Security consideră că este adecvat să alerteze imediat publicul larg cu privire la o vulnerabilitate din cauza riscului sau siguranței utilizatorului final al unui produs sau serviciu, atunci Kraken Security Labs va informa simultan furnizorul și publicul larg cu privire la constatările sale. În comunicarea către furnizor, Kraken Security Labs va enumera factorii utilizați în decizia de a publica imediat constatările sale.