A Beny:
diamo priorità e sosteniamo la divulgazione e la gestione responsabile delle vulnerabilità, valorizzando profondamente i contributi di tutti i ricercatori di sicurezza. Se ti imbatti in una vulnerabilità, ti invitiamo a segnalarla tempestivamente a Beny@zjbeny.com. Stai certo che il nostro team seguirà diligentemente la tua segnalazione e fornirà un feedback tempestivo. Per salvaguardare la sicurezza dei nostri utenti e delle nostre aziende, ti chiediamo gentilmente di astenerti dal divulgare o condividere la vulnerabilità finché non sarà stata affrontata e risolta in modo efficace.
Processo di gestione:
- Eventuali problemi di sicurezza della rete scoperti durante il funzionamento del prodotto verranno segnalati direttamente a Beny, tramite e-mail all'indirizzo Beny@zjbeny.com.
- Dopo aver ricevuto il problema, Benywill organizzerà prontamente il team di ricerca e sviluppo per condurre un'analisi del problema e fornire un rapporto di analisi del problema e una soluzione entro 72 ore.
- Durante la risoluzione dell'incidente di sicurezza della rete, Benywill fornirà aggiornamenti settimanali sui progressi al personale interessato e farà sì che i responsabili di tutti i team interessati esaminino il "Rapporto di revisione dell'incidente" per indicare il completamento del lavoro di gestione dell'incidente.
- Dopo che il nuovo software è stato testato dal Software Testing Department senza alcun problema, verrà fornito un report di test. Sulla base del report di test, il R&D Department deciderà se è necessario un aggiornamento. Se è necessario un aggiornamento, il team R&D fornirà una raccomandazione di piano di aggiornamento della versione al team del servizio clienti. Dopo aver ottenuto l'approvazione dal team del servizio clienti, entrambi i team completeranno congiuntamente l'aggiornamento del software per i terminali operativi e l'hardware di produzione.
- Al termine dell'aggiornamento, il team di ricerca e sviluppo condurrà una revisione completa dell'incidente e produrrà un "Rapporto di revisione dell'incidente" (incluso il tracciamento della causa del problema, le misure di gestione e le misure di miglioramento successive).
- Durante la risoluzione dell'incidente di sicurezza della rete, il team di ricerca e sviluppo fornirà aggiornamenti giornalieri sui progressi al personale interessato e i responsabili di tutti i team interessati esamineranno il "Rapporto di revisione dell'incidente" per indicare il completamento della gestione dell'incidente.
- I tempi di risposta iniziali sono definiti in base alla policy di divulgazione delle vulnerabilità pubblicata. In genere, una correzione o un avviso saranno rilasciati entro 90 giorni dalla ricezione del report sulle vulnerabilità. Una volta rilasciata una correzione, l'avviso verrà ritirato.
Tempi di risposta e gestione
Livello di servizio | Nome del livello | Definizione di livello | Contratto di servizio | Tempo di risposta alle emergenze | Tempo di ripristino del sistema |
L0 | Servizi principali | Eventuali eccezioni influenzeranno tutte le principali operazioni aziendali | 20 metri | 7 giorni | 30 giorni |
L1 | Servizi critici | Le eccezioni avranno un impatto sulle operazioni commerciali di alcune filiali | 20 metri | 10 giorni | 30 giorni |
L2 | Servizi Generali | Le eccezioni non influenzeranno i principali processi aziendali | 20 metri | 15 giorni | 60 giorni |
L3 | Servizi aggiuntivi | Le eccezioni sono impercettibili per gli utenti | 20 metri | 30 giorni | 90 giorni |
Nota: i tempi di risposta e gestione sopra menzionati sono definiti per ogni livello di servizio. Il "tempo di risposta di emergenza" si riferisce al tempo entro il quale verrà avviata una risposta per risolvere un problema, mentre il "tempo di ripristino del sistema" si riferisce al tempo necessario per ripristinare completamente il sistema e ripristinare le normali operazioni dopo un incidente.