Beheer van beveiligingslekken in Beny-netwerken

Bij Beny:

 Wij hechten veel waarde aan de verantwoorde openbaarmaking en afhandeling van beveiligingslekken en waarderen de bijdragen van alle beveiligingsonderzoekers ten zeerste. Als u een beveiligingslek tegenkomt, raden we u aan dit zo snel mogelijk te melden aan Beny@zjbeny.com. Ons team zal uw melding nauwgezet opvolgen en u tijdig feedback geven. Om de veiligheid van onze gebruikers en bedrijven te waarborgen, verzoeken wij u vriendelijk om het beveiligingslek niet openbaar te maken of te delen totdat het effectief is aangepakt en opgelost.

Verwerkingsproces:

1. Netwerkbeveiligingsproblemen die tijdens het gebruik van het product worden geconstateerd, moeten rechtstreeks aan Beny worden gemeld via een e-mail naar Beny@zjbeny.com.
2. Na ontvangst van het probleem heeft Benywill direct het R&D-team ingeschakeld om een probleemanalyse uit te voeren en binnen 72 uur een rapport met de probleemanalyse en een oplossing te leveren.
3. Tijdens de afhandeling van het netwerkbeveiligingsincident zal Benywill wekelijks voortgangsrapporten verstrekken aan het relevante personeel en zullen de verantwoordelijken van alle betrokken teams het "Incident Review Report" beoordelen om de afronding van de incidentafhandeling te bevestigen.
4. Nadat de nieuwe software door de afdeling Softwaretesten zonder problemen is getest, wordt een testrapport opgesteld. Op basis van dit rapport besluit de afdeling Onderzoek en Ontwikkeling (R&D) of een upgrade nodig is. Indien een upgrade vereist is, stelt het R&D-team een aanbeveling voor een upgradeplan op voor de klantenservice. Na goedkeuring door de klantenservice voeren beide teams gezamenlijk de software-upgrade uit voor de operationele terminals en de productiehardware.
5. Na voltooiing van de upgrade zal het R&D-team een uitgebreide evaluatie van het incident uitvoeren en een "Incidentevaluatierapport" opstellen (waarin de oorzaak van het probleem, de genomen maatregelen en de vervolgmaatregelen voor verbetering worden beschreven).
6. Tijdens de afhandeling van het netwerkbeveiligingsincident zal het R&D-team dagelijks voortgangsrapporten verstrekken aan de betrokken medewerkers, en de verantwoordelijken van alle betrokken teams zullen het "Incident Review Report" beoordelen om de afronding van de incidentafhandeling te bevestigen.
7. De initiële reactietijden worden bepaald op basis van het gepubliceerde beleid voor het melden van kwetsbaarheden. Doorgaans wordt een oplossing of waarschuwing binnen 90 dagen na ontvangst van de kwetsbaarheidsmelding uitgebracht. Zodra een oplossing is uitgebracht, wordt de waarschuwing ingetrokken.

Reactie- en verwerkingstijden

Let op: De hierboven genoemde reactie- en afhandelingstijden gelden voor elk serviceniveau. De "Noodreactietijd" verwijst naar de tijd waarbinnen een reactie wordt gestart om een probleem op te lossen, terwijl de "Systeemhersteltijd" verwijst naar de tijd die nodig is om het systeem volledig te herstellen en de normale werking te hervatten na een incident.