Roborock Zafiyet Bildirim Politikası
Roborock Zafiyet Bildirim Politikası
Roborock Zafiyet Bildirim Politikası
Kas 2023
Roborock, sektöre öncülük eden bir IoT elektrikli süpürge üreticisidir. Veri ve bilgi sistemimize önem veriyoruz.
Bu zafiyet bildirim politikası; Roborock Uygulaması, elektrikli süpürgeler ve IoT sunucumuza ilişkin zafiyet bildirimi ve iletişimi kapsamaktadır.
İlgili yönetim departmanı ile şirket yöneticilerinin kararı ve şirketin güvenlik yönetiminin asıl ihtiyaçları doğrultusunda zafiyetler toplanmış ve e-posta aracılığıyla aşağıdaki gibi aktarılmıştır.
Bu zafiyet bildirim politikası bize (bundan böyle "Kuruluş" olarak anılacaktır) bildirmeyi düşündüğünüz tüm zafiyetler için geçerlidir. Herhangi bir zafiyet bildirmeden ve her zaman zafiyete uyumlu hareket etmeden önce işbu zafiyet bildirim politikasını okumanızı tavsiye ederiz.
İşbu politika doğrultusunda vakit ayırıp çaba harcayarak güvenlik zafiyetlerini bize bildirenlere minnet duyuyoruz. Ancak zafiyet bildirimleri hakkında herhangi bir ücret ödülü vadetmiyoruz.
Güvenlik zafiyeti bulduğunuzu düşünüyorsanız lütfen aşağıdaki linki/e-postayı kullanarak bildirinizi bize teslim edin:
security@roborock.com
Bildirinize lütfen aşağıdaki hususları dahil edin:
Zafiyet Detayları:
* Varlık (internet adresi, IP, ürün ya da hizmet ismi) zafiyetin gözlemlenebildiği yer
* Zayıflık (ör. CWE) (isteğe bağlı)
* Ciddiyet (ör. CVSS v3.0) (isteğe bağlı)
* Zafiyet başlığı (zorunlu)
* Zafiyetin tanımı (bu tanım özet, destekleyici dosyalar ve olası hafifletme yöntemleri ya da tavsiye içermelidir) (zorunlu)
* Etki (saldırgan ne yapabilir?) (zorunlu)
* Yapım adımları. Bu adımlar iyi amaçlı, yıkıcı olmayan, kavramı kanıtlayabilecek adımlar olmalıdır. Bu adımlar bildiri öncelik sınıflandırılmasının hızlı ve doğru bir şekilde yapılmasına yardımcı olur. Ayrıca birbirinin aynısı olan bildiriler ya da alt alan adı devralınması gibi bazı zafiyetlerin kötüye kullanılabileceği durumların yaşanabilirliğini azaltır. İsteğe Bağlı İletişim Bilgileri:
* İsim
* E-posta adresi
Bildirinizi teslim ettikten sonra bildirinize 10 iş günü içinde yanıt vereceğiz ve bildirinizin öncelik sınıflandırmasını 30 iş günü içinde yapmayı hedefliyoruz. Ayrıca sizi süreç hakkında sürekli bilgilendirmeyi amaçlıyoruz.
Zafiyetin düzeltilme önceliği etkisine, ciddiyetine ve kötüye kullanmada konusundaki karmaşıklığına göre değerlendirilmektedir.
Zafiyet bildirilerinin öncelik sınıflandırması ya da ele alınması biraz zaman alabilir. Durum hakkında her zaman bilgi isteyebilirsiniz
ancak her 30 günde bir defadan fazla yapmamaya özen göstermelisiniz. Bu sayede ekibimiz düzeltme sürecine odaklanabilir.
Bildirdiğiniz zafiyet düzeltildiğinde sizi bilgilendireceğiz ve çözümün zafiyeti yeterli şekilde kapsadığını doğrulamak için davet edilebilirsiniz.
Zafiyetiniz çözüldüğünde bildirinizi açıklama isteklerini memnuniyetle karşılıyoruz. Etkilenen kullanıcılara rehberliği bir arada tutmak istiyoruz dolayısıyla yayımlama sürecinde bizimle iş birliğinde kalmaya devam edin.
YAPMAMANIZ gerekenler:
* Uygulanabilir herhangi bir kanun ya da düzenlemeye uymamak.
* Gereksiz, aşırı ya da ciddi boyutta veriye ulaşmak.
* Kuruluşun sistemleri ya da hizmetlerindeki veriyi düzenlemek.
* Yüksek yoğunluklu istilacı ya da yıkıcı tarama araçlarını zafiyetleri bulmak için kullanmak.
* Herhangi bir hizmet reddi girişiminde bulunmak ya da hizmet reddi bildirmek, ör. bir hizmeti yüksek hacimli isteklerle boğmak
* Kuruluş’un hizmetlerini veya sistemlerini sekteye uğratmak.