KÄrcher产品和服务安全报告和建议
负责任的披露政策
序言
阿尔弗雷德火博体育官网 SE & Co. KG(这里简称“火博体育官网”)负责物联网产品以及本政策下的报告程序. 阿尔弗雷德火博体育官网 Vertriebs-GmbH, 火博体育官网的全资子公司仅负责托管本报告主页,在处理通过报告主页提交的任何报告的过程中没有任何作用.
1. 价值观及原则
网络安全(这里简称“安全”)对火博体育官网的物联网产品和数字服务非常重要. 火博体育app登录追求设计安全的方法,并致力于在整个生命周期内保持火博体育app登录物联网产品和数字服务的安全性. 然而,网络安全是一个移动的目标,安全环境将不断演变. 任何时候都可以发现新的见解、攻击能力和漏洞. 虽然火博体育app登录从一开始就在设计火博体育app登录的产品, 他们永远无法达到100%的安全.
火博体育官网致力于持续火博体育官网和改善其物联网产品和数字服务的安全状态. 因此,火博体育官网希望与安全社区密切合作. 火博体育app登录欢迎并鼓励研究人员, 当局, 业务合作伙伴, 以及其他私人和公共机构就安全问题与火博体育app登录火博体育app登录, 漏洞或可能的利用等. 与火博体育app登录的物联网产品和数字服务有关. 火博体育app登录将第三方提供的每个相关安全信息视为火博体育app登录网络安全架构的宝贵组成部分.
2. 报告和披露的条件
火博体育官网将使与安全社区的通信尽可能容易和可访问. 然而, 为使火博体育app登录能迅速有效地回应报告,以下几点十分重要:
2.1一般:
- 报告可以用英语和德语发送
- 不需要合同或保密协议
- 报告必须参考
- 火博体育官网物联网产品,这意味着该产品带有火博体育官网标志,并具有某种连接(wifi, 蓝牙, 无线个域网等.) or
- 由火博体育官网通过互联网提供的数字服务
- 火博体育app登录鼓励记者使用加密的电子邮件通信.
- 火博体育官网不会就调查结果的报告提出任何形式的法律主张或指控, 漏洞, 剥削等等. 在下列情况下:
- 记者不会对火博体育官网和/或其关联公司、客户、供应商或合作伙伴造成损害
- 记者不损害火博体育官网和/或其关联公司的隐私或安全, 客户, 供应商或合作伙伴或火博体育官网服务的运营
- 记者保留发表他/她的发现,直到火博体育官网能够提供一个解决方案
- 记者进行测试不得违反任何法律, 或破坏或破坏不属于他/她自己的任何数据或机密信息.
2.2报表所需内容
- 受影响的物联网产品(最好提供类型名称或序列号)或数字服务(通过完整域名或URL标识)
- 记者进一步沟通的火博体育官网(可识别或匿名)
- 效果详细说明, 洞察力或漏洞(如果可能的话,使用日志, 图片, 或其他额外的材料来重现这一发现)
- 检索结果的标题或类别(如果可能,基于OWASP或CWE数据库)
- 如果已知:影响,依赖或其他影响的发现
- 如果已知:CVSS3分数的发现或估计CVSS-like参数(e.g. 特权要求,用户交互要求,攻击工具可用性等.)
- 如果已知:对发现、漏洞、利用等的意识.
注意:火博体育app登录将分析每个报告输入. 火博体育app登录收到的信息越多,就能更好地对报告作出反应. 如果火博体育app登录没有收到足够的信息, 有可能火博体育app登录不得不把报告搁置起来,或者不再跟进.
2.3披露过程
- 3个工作日内确认收到报告
- 在10个工作日内回复第一次评估或其他问题
- 最终的响应和安全措施取决于发现的复杂性
- 当发现问题得到解决时,每个记者都会收到通知
