Cập nhật mới nhất: Ngày 5 tháng 9 năm 2019
Kraken Security Labs thường xuyên tiến hành nghiên cứu về tính bảo mật của các ứng dụng, phần cứng và sản phẩm thường được sử dụng. Nghiên cứu được thực hiện để hướng dẫn và bảo vệ người dùng cuối của các dịch vụ và sản phẩm đó. Chính sách này nêu rõ cách Kraken Security Labs xử lý việc công bố lỗ hổng bảo mật một cách có trách nhiệm khi chúng tôi phát hiện ra lỗ hổng bảo mật trong các sản phẩm và dịch vụ của bên thứ ba.
Kraken Security Labs sẽ thông báo cho nhà cung cấp phù hợp về lỗ hổng bảo mật trong sản phẩm và/hoặc dịch vụ của họ. Lần đầu tiên, chúng tôi sẽ liên hệ qua bất kỳ địa chỉ liên hệ thích hợp hoặc cơ chế chính thức nào được liệt kê trên trang web của nhà cung cấp. Nếu thông tin liên hệ đó không được đăng, Kraken Security Labs sẽ cố gắng hết sức để tìm phương tiện liên hệ thích hợp. Sau khi tìm được cơ chế liên hệ chính thức hoặc phù hợp, thông tin thích hợp về lỗ hổng sẽ được truyền tải một cách bảo mật đến nhà cung cấp.
Nếu nhà cung cấp không xác nhận thông báo ban đầu trong vòng năm (5) ngày làm việc, Kraken Security Labs sẽ bắt đầu liên hệ với nhà cung cấp lần thứ hai. Nếu Kraken Security Labs sử dụng hết tất cả phương tiện trên để liên hệ với nhà cung cấp thì Kraken Security Labs có thể đưa ra hướng dẫn công khai công bố những phát hiện của mình sau lần liên hệ đầu tiên mười lăm (15) ngày làm việc.
Nếu nhận được phản hồi của nhà cung cấp trong khung thời gian nêu trên, Kraken Security Labs sẽ yêu cầu nhà cung cấp chọn khung thời gian mong muốn để khắc phục. Kraken Security Labs sẽ cho nhà cung cấp tối đa chín mươi (90) ngày lịch để giải quyết lỗ hổng bằng một bản vá. Khi hết thời hạn hoặc sớm hơn (nếu được nhà cung cấp thông báo), nếu lỗ hổng đã được vá hoặc nếu nhà cung cấp không phản hồi hoặc không thể đưa ra tuyên bố hợp lý về lý do lỗ hổng chưa được khắc phục, Kraken Security Labs sẽ đăng hướng dẫn công khai, bao gồm các khuyến nghị giảm thiểu nhằm nỗ lực bảo vệ người dùng cuối.
Kraken Security Labs sẽ cố gắng hết sức để làm việc với các nhà cung cấp nhằm đảm bảo họ hiểu chi tiết kỹ thuật và mức độ nghiêm trọng của lỗ hổng bảo mật được báo cáo. Nếu nhà cung cấp sản phẩm không thể hoặc chọn không vá một lỗ hổng bảo mật cụ thể, Kraken Security Labs có thể sẽ đề nghị hợp tác với nhà cung cấp đó để công bố công khai lỗ hổng đó bằng một số cách giải quyết hiệu quả.
Trong trường hợp Kraken Security cảm thấy cần phải cảnh báo ngay cho công chúng về lỗ hổng bảo mật do rủi ro hoặc sự an toàn đối với người dùng cuối của sản phẩm hoặc dịch vụ, Kraken Security Labs sẽ đồng thời thông báo cho nhà cung cấp và công chúng về những phát hiện của mình. Khi liên hệ với nhà cung cấp, Kraken Security Labs sẽ liệt kê các yếu tố được sử dụng để quyết định công bố ngay những phát hiện của mình.