Chez Beny:
Nous accordons la priorité à la divulgation et au traitement responsables des vulnérabilités, tout en valorisant profondément les contributions de tous les chercheurs en sécurité. Si vous rencontrez une vulnérabilité, nous vous encourageons à la signaler rapidement à Beny@zjbeny.com. Soyez assuré que notre équipe assurera le suivi de votre rapport avec diligence et vous fournira un retour d'information en temps opportun. Pour préserver la sécurité de nos utilisateurs et de nos entreprises, nous vous demandons de ne pas divulguer ou partager la vulnérabilité jusqu'à ce qu'elle ait été efficacement traitée et résolue.
Processus de manipulation :
- Les problèmes de sécurité réseau découverts pendant le fonctionnement du produit seront directement signalés à Beny par e-mail à Beny@zjbeny.com.
- Dès réception du problème, Beny organisera rapidement l'équipe de R&D pour effectuer une analyse du problème et fournir un rapport d'analyse du problème et une solution dans les 72 heures.
- Tout au long de la résolution de l'incident de sécurité du réseau, Beny fournira des mises à jour hebdomadaires sur l'avancement du projet au personnel concerné et demandera aux personnes responsables de toutes les équipes concernées d'examiner le « rapport d'examen des incidents » pour signifier l'achèvement du travail de gestion des incidents.
- Une fois que le nouveau logiciel a été testé sans problème par le département de test logiciel, un rapport de test sera fourni. Sur la base du rapport de test, le département R&D décidera si une mise à niveau est nécessaire. Si une mise à niveau est nécessaire, l'équipe R&D fournira une recommandation de plan de mise à niveau de version à l'équipe du service client. Après avoir obtenu l'approbation de l'équipe du service client, les deux équipes effectueront conjointement la mise à niveau du logiciel pour les terminaux opérationnels et le matériel de production.
- Une fois la mise à niveau terminée, l'équipe R&D procédera à un examen complet de l'incident et produira un « rapport d'examen de l'incident » (comprenant la recherche de la cause du problème, les mesures de traitement et les mesures d'amélioration de suivi).
- Tout au long de la résolution de l'incident de sécurité du réseau, l'équipe de R&D fournira des mises à jour quotidiennes de l'avancement au personnel concerné, et les personnes responsables de toutes les équipes concernées examineront le « Rapport d'examen des incidents » pour signifier l'achèvement du traitement de l'incident.
- Les délais de réponse initiaux sont définis en fonction de la politique de divulgation des vulnérabilités publiée. En règle générale, un correctif ou un avertissement est publié dans les 90 jours suivant la réception du rapport de vulnérabilité. Une fois le correctif publié, l'avertissement est retiré.
Délais de réponse et de traitement
Niveau de service | Nom du niveau | Définition du niveau | Accord de niveau de service | Délai de réponse d'urgence | Temps de récupération du système |
L0 | Services de base | Toute exception affectera toutes les opérations commerciales principales | 20 m | 7j | 30j |
L1 | Services critiques | Des exceptions auront un impact sur certaines opérations commerciales des succursales | 20 m | 10j | 30j |
L2 | Services Généraux | Les exceptions n’affecteront pas les principaux processus commerciaux | 20 m | 15j | 60j |
L3 | Services supplémentaires | Les exceptions sont imperceptibles pour les utilisateurs | 20 m | 30j | 90j |
Remarque : les délais de réponse et de traitement mentionnés ci-dessus sont définis pour chaque niveau de service. Le « temps de réponse d'urgence » fait référence au temps nécessaire pour lancer une intervention afin de résoudre un problème, tandis que le « temps de récupération du système » fait référence au temps nécessaire pour récupérer complètement le système et rétablir les opérations normales après un incident.