Zarządzanie lukami w zabezpieczeniach sieci Beny

W Beny:

 Priorytetem jest dla nas odpowiedzialne ujawnianie i obsługa luk w zabezpieczeniach, a jednocześnie wysoko cenimy wkład wszystkich badaczy bezpieczeństwa. W przypadku natknięcia się na jakąkolwiek lukę w zabezpieczeniach, zachęcamy do niezwłocznego zgłoszenia jej na adres Beny@zjbeny.com. Zapewniamy, że nasz zespół skrupulatnie zajmie się Twoim zgłoszeniem i udzieli Ci informacji zwrotnej w odpowiednim czasie. Aby chronić bezpieczeństwo naszych użytkowników i firm, uprzejmie prosimy o powstrzymanie się od ujawniania lub udostępniania informacji o luce w zabezpieczeniach do czasu jej skutecznego usunięcia.

Proces obsługi:

1. Wszelkie problemy z bezpieczeństwem sieci wykryte podczas korzystania z produktu należy zgłaszać bezpośrednio do Benyvia, wysyłając wiadomość e-mail na adres Beny@zjbeny.com.
2. Po otrzymaniu zgłoszenia Benywill niezwłocznie zorganizuje zespół badawczo-rozwojowy, który przeprowadzi analizę problemu i w ciągu 72 godzin dostarczy raport z analizy problemu i rozwiązanie.
3. Przez cały czas trwania procesu rozwiązywania incydentu związanego z bezpieczeństwem sieci Beny będzie co tydzień informować odpowiedni personel o postępach prac i zleci osobom odpowiedzialnym ze wszystkich zespołów zapoznanie się z „Raportem z przeglądu incydentu”, aby potwierdzić zakończenie prac związanych z obsługą incydentu.
4. Po bezproblemowym przetestowaniu nowego oprogramowania przez Dział Testów Oprogramowania, zostanie sporządzony raport z testów. Na podstawie raportu z testów Dział Badań i Rozwoju podejmie decyzję o konieczności aktualizacji. Jeśli aktualizacja okaże się konieczna, zespół Badań i Rozwoju przedstawi zespołowi obsługi klienta rekomendację planu aktualizacji wersji. Po uzyskaniu zgody zespołu obsługi klienta, oba zespoły wspólnie przeprowadzą aktualizację oprogramowania terminali operacyjnych i sprzętu produkcyjnego.
5. Po zakończeniu modernizacji zespół badawczo-rozwojowy przeprowadzi kompleksowy przegląd incydentu i sporządzi „Raport z przeglądu incydentu” (obejmujący między innymi ustalenie przyczyny problemu, środki zaradcze i dalsze działania naprawcze).
6. Przez cały czas trwania prac nad rozwiązaniem incydentu związanego z bezpieczeństwem sieci zespół badawczo-rozwojowy będzie codziennie informował odpowiedni personel o postępach prac, a osoby odpowiedzialne ze wszystkich zespołów będą przeglądać „Raport z przeglądu incydentu”, aby potwierdzić zakończenie prac nad rozwiązaniem incydentu.
7. Czasy wstępnej reakcji są definiowane na podstawie opublikowanej polityki ujawniania luk w zabezpieczeniach. Zazwyczaj poprawka lub ostrzeżenie zostanie opublikowane w ciągu 90 dni od otrzymania raportu o luce w zabezpieczeniach. Po opublikowaniu poprawki ostrzeżenie zostanie wycofane.

Czas reakcji i obsługi

Uwaga: Podane powyżej czasy reakcji i obsługi są zdefiniowane dla każdego poziomu usługi. „Czas reakcji w nagłych wypadkach” odnosi się do czasu, w którym reakcja zostanie podjęta w celu rozwiązania problemu, natomiast „Czas odzyskiwania systemu” odnosi się do czasu potrzebnego na pełne odzyskanie systemu i przywrócenie normalnego działania po incydencie.