Em Beny:
priorizamos e defendemos a divulgação e o tratamento responsáveis de vulnerabilidades, ao mesmo tempo em que valorizamos profundamente as contribuições de todos os pesquisadores de segurança. Se você encontrar alguma vulnerabilidade, recomendamos que a denuncie imediatamente para Beny@zjbeny.com. Fique tranquilo, nossa equipe acompanhará diligentemente seu relatório e fornecerá feedback oportuno. Para proteger a segurança de nossos usuários e empresas, solicitamos gentilmente que você se abstenha de divulgar ou compartilhar a vulnerabilidade até que ela tenha sido efetivamente abordada e resolvida.
Processo de manuseio:
- Problemas de segurança de rede descobertos durante a operação do produto serão reportados diretamente à Beny por e-mail para Beny@zjbeny.com.
- Ao receber o problema, a Benywill organizará prontamente a equipe de P&D para conduzir a análise do problema e fornecer um relatório de análise do problema e uma solução dentro de 72 horas.
- Durante a resolução do incidente de segurança da rede, a Benywill fornecerá atualizações semanais de progresso ao pessoal relevante e fará com que os responsáveis de todas as equipes relevantes revisem o “Relatório de Revisão de Incidente” para indicar a conclusão do trabalho de tratamento de incidente.
- Após o novo software ter sido testado pelo Departamento de Testes de Software sem problemas, um relatório de teste será fornecido. Com base no relatório de teste, o Departamento de P&D decidirá se uma atualização é necessária. Se uma atualização for necessária, a equipe de P&D fornecerá uma recomendação de plano de atualização de versão para a equipe de atendimento ao cliente. Após obter a aprovação da equipe de atendimento ao cliente, ambas as equipes concluirão em conjunto a atualização do software para terminais operacionais e hardware de produção.
- Após a conclusão da atualização, a equipe de P&D conduzirá uma revisão abrangente do incidente e produzirá um “Relatório de Revisão de Incidente” (incluindo o rastreamento da causa do problema, medidas de tratamento e medidas de melhoria de acompanhamento).
- Durante a resolução do incidente de segurança da rede, a equipe de P&D fornecerá atualizações diárias de progresso ao pessoal relevante, e os responsáveis de todas as equipes relevantes revisarão o “Relatório de Revisão de Incidente” para indicar a conclusão do tratamento do incidente.
- Os tempos de resposta iniciais são definidos com base na política de divulgação de vulnerabilidade publicada. Normalmente, uma correção ou aviso será lançado dentro de 90 dias do recebimento do relatório de vulnerabilidade. Depois que uma correção for lançada, o aviso será retirado.
Tempos de resposta e manuseio
Nível de serviço | Nome do nível | Definição de nível | Acordo de Nível de Serviço | Tempo de resposta de emergência | Tempo de recuperação do sistema |
L0 | Serviços principais | Quaisquer exceções afetarão todas as operações comerciais primárias | 20m | 7º dia | 30 dias |
L1 | Serviços Críticos | Exceções impactarão algumas operações comerciais da filial | 20m | 10 dias | 30 dias |
L2 | Serviços Gerais | As exceções não afetarão os principais processos de negócios | 20m | 15 dias | 60 dias |
L3 | Serviços Adicionais | As exceções são imperceptíveis para os usuários | 20m | 30 dias | 90º dia |
Nota: Os tempos de resposta e tratamento mencionados acima são definidos para cada nível de serviço. O “Tempo de Resposta de Emergência” se refere ao tempo dentro do qual uma resposta será iniciada para resolver um problema, enquanto o “Tempo de Recuperação do Sistema” se refere ao tempo que levará para recuperar totalmente o sistema e restaurar as operações normais após um incidente.