Cập nhật lần cuối: 5/9/2019
Kraken Security Labs thường xuyên tiến hành nghiên cứu về bảo mật của các ứng dụng, phần cứng và sản phẩm thường được khách hàng sử dụng. Nghiên cứu được thực hiện để cập nhật kiến thức và bảo vệ người dùng khi sử dụng các dịch vụ và sản phẩm đó. Chính sách này phác họa cách mà Kraken Security Labs xử lý việc công bố lỗ hổng một cách có trách nhiệm khi chúng tôi phát hiện ra lỗ hổng bảo mật trong các sản phẩm và dịch vụ của bên thứ ba.
Kraken Security Labs sẽ thông báo cho các nhà cung cấp có liên quan về lỗ hổng bảo mật trong các sản phẩm, dịch vụ của họ. Trước tiên, chúng tôi sẽ liên hệ với nhà cung cấp sử dụng thông tin hoặc cơ chế liên lạc chính thức được liệt kê trên trang web của họ. Nếu trang web không thể hiện bất cứ thông tin liên hệ nào, Kraken Security Labs sẽ nỗ lực tìm kiếm phương thức liên lạc thích hợp. Khi đã tìm thấy, chúng tôi sẽ gửi thông tin cần thiết về lỗ hổng đến nhà cung cấp một cách an toàn.
Nếu nhà cung cấp không phản hồi trong vòng năm (5) ngày làm việc, Kraken Security Labs sẽ phát thông báo lần thứ hai. Trong trường hợp Kraken Security Labs đã làm mọi cách để liên hệ với nhà cung cấp nhưng vẫn không nhận được phản hồi, Kraken Security Labs có thể sẽ phải đưa ra một khuyến cáo công khai về những phát hiện của mình trong vòng mười lăm (15) ngày làm việc kể từ lần liên hệ đầu tiên.
Nếu nhà cung cấp phản hồi trong khung thời gian trên, Kraken Security Labs sẽ yêu cầu nhà cung cấp đưa ra khung thời gian dự tính để khắc phục. Kraken Security Labs sẽ cho phép nhà cung cấp tối đa chín mươi (90) ngày theo lịch để xử lý lỗ hổng bằng một bản cập nhật. Khi hết thời hạn hoặc sớm hơn (trong trường hợp nhà cung cấp thông báo), nếu lỗ hổng đã được vá, hoặc nếu nhà cung cấp không phản hồi hoặc không thể đưa ra tuyên bố hợp lý về lý do lỗ hổng không được khắc phục, Kraken Security Labs sẽ công bố một bản khuyến cáo công khai bao gồm các khuyến nghị để hạn chế sự ảnh hưởng của lỗ hổng, với mục đích nỗ lực bảo vệ người dùng.
Kraken Security Labs sẽ nỗ lực làm việc với các nhà cung cấp để đảm bảo họ hiểu rõ chi tiết kỹ thuật và mức độ nghiêm trọng của lỗ hổng bảo mật mà chúng tôi báo cáo. Nếu nhà cung cấp sản phẩm không thể (hoặc không muốn) vá một lỗ hổng bảo mật cụ thể, Kraken Security Labs có thể đề nghị làm việc với nhà cung cấp đó để công khai lỗ hổng với các biện pháp giải quyết hiệu quả.
Trong trường hợp Kraken Security cảm thấy cần phải cảnh báo ngay lập tức về lỗ hổng vì lý do rủi ro hoặc an toàn cho người dùng cuối cùng của sản phẩm hoặc dịch vụ, Kraken Security Labs sẽ đồng thời khuyến cáo cả nhà cung cấp và công chúng về những phát hiện này. Trong cuộc trao đổi với nhà cung cấp, Kraken Security Labs sẽ liệt kê các yếu tố được sử dụng trong việc quyết định công bố ngay lập tức.