En Beny:
Priorizamos y defendemos la divulgación y el manejo responsable de las vulnerabilidades, al mismo tiempo que valoramos profundamente las contribuciones de todos los investigadores de seguridad. Si encuentra alguna vulnerabilidad, le recomendamos que la informe de inmediato a Beny@zjbeny.com. Tenga la seguridad de que nuestro equipo hará un seguimiento diligente de su informe y le proporcionará comentarios oportunos. Para salvaguardar la seguridad de nuestros usuarios y empresas, le solicitamos que se abstenga de divulgar o compartir la vulnerabilidad hasta que se haya abordado y resuelto de manera efectiva.
Proceso de manipulación:
- Los problemas de seguridad de la red descubiertos durante el funcionamiento del producto se informarán directamente a Beny mediante correo electrónico a Beny@zjbeny.com.
- Al recibir el problema, Benywill organizará rápidamente el equipo de I+D para realizar un análisis del problema y proporcionar un informe de análisis del problema y una solución dentro de las 72 horas.
- Durante la resolución del incidente de seguridad de la red, Beny proporcionará actualizaciones semanales del progreso al personal relevante y hará que las personas responsables de todos los equipos relevantes revisen el “Informe de revisión del incidente” para indicar la finalización del trabajo de manejo del incidente.
- Una vez que el Departamento de Pruebas de Software haya probado el nuevo software sin ningún problema, se proporcionará un informe de prueba. Con base en el informe de prueba, el Departamento de I+D decidirá si es necesaria una actualización. Si es necesaria una actualización, el equipo de I+D proporcionará una recomendación de plan de actualización de versión al equipo de servicio al cliente. Después de obtener la aprobación del equipo de servicio al cliente, ambos equipos completarán conjuntamente la actualización de software para terminales operativas y hardware de producción.
- Una vez finalizada la actualización, el equipo de I+D dirigirá una revisión exhaustiva del incidente y elaborará un “Informe de revisión del incidente” (que incluye el seguimiento de la causa del problema, las medidas de manejo y las medidas de mejora de seguimiento).
- Durante la resolución del incidente de seguridad de la red, el equipo de I+D proporcionará actualizaciones diarias sobre el progreso al personal relevante, y las personas responsables de todos los equipos relevantes revisarán el “Informe de revisión del incidente” para indicar la finalización del manejo del incidente.
- Los tiempos de respuesta iniciales se definen en función de la política de divulgación de vulnerabilidades publicada. Por lo general, se publicará una corrección o advertencia dentro de los 90 días posteriores a la recepción del informe de vulnerabilidad. Una vez que se haya publicado una corrección, se retirará la advertencia.
Tiempos de respuesta y manejo
Nivel de servicio | Nombre del nivel | Definición de nivel | Acuerdo de nivel de servicio | Tiempo de respuesta ante emergencias | Tiempo de recuperación del sistema |
L0 | Servicios básicos | Cualquier excepción afectará a todas las operaciones comerciales principales. | 20 metros | 7d | 30d |
L1 | Servicios críticos | Las excepciones afectarán algunas operaciones comerciales de las sucursales | 20 metros | 10d | 30d |
L2 | Servicios generales | Las excepciones no afectarán los principales procesos comerciales. | 20 metros | 15d | 60d |
Nivel 3 | Servicios adicionales | Las excepciones son imperceptibles para los usuarios. | 20 metros | 30d | 90d |
Nota: Los tiempos de respuesta y manejo mencionados anteriormente se definen para cada nivel de servicio. El “Tiempo de respuesta de emergencia” se refiere al tiempo dentro del cual se iniciará una respuesta para abordar un problema, mientras que el “Tiempo de recuperación del sistema” se refiere al tiempo que tomará recuperar completamente el sistema y restablecer las operaciones normales después de un incidente.