披露责任

您发现漏洞了吗?告诉知道。

Pon Holdings B.V.及其子公司自然认为,系统和网络的安全性至关重要。我们坚信良好的安全性对于维持客户、供应商和员工对我们的信任至关重要。尽管我们在系统安全上投入了精力,但是仍然有可能发现漏洞。

通过我们的披露负责政策,我们要求发现漏洞的任何人尽快报告漏洞,以便我们采取适当的对策。我们很乐意与您合作解决漏洞。由于我们已经在监测网络,因此我们的披露责任政策并非邀请您主动详细地扫描公司网络以发现漏洞。

我们要求您:

  • 尽快向rd@pon.com报告您发现的漏洞。如果您想在发送报告之前对其进行加密,请通过电子邮件告知我们,我们将为您提供指示;
  • 为我们提供足够的信息来复制该漏洞,以便我们尽快解决漏洞。通常,受影响系统的IP地址或URL以及对漏洞的描述就足够了,但是更复杂的漏洞可能需要额外的信息。
  • 请勿通过下载、查看、删除或编辑数据来滥用此漏洞;
  • 在解决漏洞之前,请勿与他人分享漏洞信息。如果您无意间获得了机密信息,那么我们要求您立即删除数据;
  • 请勿对第三方的物理安全或应用程序、社会工程、分布式拒绝服务(DDoS)、垃圾邮件或黑客工具(例如漏洞扫描程序)进行攻击。

 

您应有何期待:

  • 我们将始终认真对待您报告的漏洞。我们还将调查任何可疑的漏洞;
  • 我们将在5个工作日内答复您的报告,并提供报告评估和解决方案的预计日期;
  • 我们将及时告知您在解决漏洞过程中的进展;
  • 如果您遵守上述条件,那么我们将不就本报告对您采取法律行动。检察机关保留决定是否有必要进行进一步调查的权利;
  • 我们将以保密的方式对待您的报告,除非有法律要求,例如在警察或法院要求您提供数据时,否则未经您的允许,我们不会与第三方共享您的个人数据;
  • 如果您提交匿名报告,我们可能无法与您联系,以提供有关后续步骤以及解决漏洞所取得的进展的信息;
  • 我们最高可提供50欧元的奖励以示感谢。这将取决于漏洞的严重程度和报告的质量;
  • 根据您的要求,我们可以在任何有关事件的通信中提到您的名字作为发现漏洞的人;
  • 我们努力在发现任何漏洞后尽快分析并(如果需要)解决漏洞。我们还将让所有利益相关者了解该问题。

 

此披露责任政策以国家网络安全中心发布的《披露责任指南》以及Floor Terra编写的《披露责任》范文。