Splashtop Inc., een toonaangevende leverancier van software en diensten voor toegang op afstand, zet zich in voor de veiligheid en beveiliging van onze klanten. Daarom formaliseert Splashtop nu ons beleid voor het accepteren van rapporten over kwetsbaarheden in onze producten. Wij hopen een open partnerschap met de beveiligingsgemeenschap te bevorderen, en wij erkennen dat het werk van de gemeenschap belangrijk is om de veiligheid en beveiliging van al onze klanten te blijven garanderen.

Wij hebben dit beleid ontwikkeld om zowel onze bedrijfswaarden te weerspiegelen als om onze wettelijke verantwoordelijkheid na te komen tegenover beveiligingsonderzoekers te goeder trouw die ons hun expertise ter beschikking stellen.

Juridische houding

Splashtop Inc. onderneemt geen juridische stappen tegen personen die kwetsbaarheden melden via ons kwetsbaarheidsmeldingsformulier. Wij accepteren openlijk rapporten voor de momenteel vermelde Splashtop producten. Wij gaan ermee akkoord geen juridische stappen te ondernemen tegen personen die:

  • Deelnemen aan het testen van systemen/onderzoek zonder Splashtop of haar klanten te schaden
  • Testen van kwetsbaarheden in het kader van ons programma voor het bekendmaken van kwetsbaarheden.
  • Neem onmiddellijk contact op met Splashtop als u per ongeluk gebruikersgegevens tegenkomt. Bekijk de gegevens niet, wijzig ze niet, sla ze niet op, draag ze niet over, en verwijder onmiddellijk alle lokale informatie na melding van de kwetsbaarheid aan Splashtop.
  • Zich houden aan de wetten van hun locatie en de locatie van Splashtop. Zo kan het overtreden van wetten die alleen leiden tot een vordering van Splashtop (en niet tot een strafrechtelijke vordering) acceptabel zijn, omdat Splashtop de activiteit (reverse engineering of het omzeilen van beschermende maatregelen) toestaat om zijn systeem te verbeteren.
  • Afzien van het openbaar maken van details over de kwetsbaarheid voordat een onderling overeengekomen termijn is verstreken.

Voorkeur, prioritering en aanvaardingscriteria

Wij gebruiken de volgende criteria om de inzendingen te prioriteren en te beoordelen.

Wat wij graag van u willen zien:

  • Goed geschreven rapporten in het Engels hebben een grotere kans op een oplossing.
  • Rapporten met proof-of-concept code stellen ons in staat tot een betere triage.
  • Rapporten die alleen crash dumps of andere geautomatiseerde tool output bevatten kunnen een lagere prioriteit krijgen.
  • Rapporten die producten bevatten die niet op de initiële lijst van het toepassingsgebied staan, kunnen een lagere prioriteit krijgen.
  • Vermeld hoe u de bug hebt gevonden, wat de gevolgen zijn en of u deze kunt verhelpen.
  • Laat ons weten als u met ons wilt samenwerken om een kwetsbaarheid te melden. We zullen ons best doen om waar mogelijk met u samen te werken om kwetsbaarheden te onthullen.

Wat u van ons kunt verwachten:

  • U ontvangt binnen 3 werkdagen na de triage feedback over uw inzending.
  • Na triage sturen wij een verwacht tijdschema en verbinden wij ons ertoe zo transparant mogelijk te zijn over het tijdschema van de sanering en over problemen of uitdagingen die het tijdschema kunnen verlengen.
  • Een open dialoog om problemen te bespreken.
  • Kennisgeving wanneer de kwetsbaarheidsanalyse elke fase van ons onderzoek heeft afgerond.

Als we communicatieproblemen of andere problemen niet kunnen oplossen, kan Splashtop een neutrale derde partij inschakelen (zoals CERT/CC, ICS-CERT of de relevante toezichthouder) om te helpen bepalen hoe de kwetsbaarheid het best kan worden aangepakt.

Een kwetsbaarheid indienen

Vul de volgende informatie in om een rapport over een kwetsbaarheid in te dienen bij het Product Security Team van Splashtop:

Dit document is oorspronkelijk in het Engels geschreven en kan in verschillende talen zijn vertaald. In geval van strijdigheid tussen de Engelse versie en de vertaling daarvan, prevaleert steeds de Engelse versie.

Opmerkingen over de versie

Versie 1.1: Disclaimer toegevoegd voor conflicten tussen de Engelse versie en vertalingen (05/05/2021)

Versie 1.0: Gemaakt Verantwoordelijkheidsbeleid (05/12/2020)