Ingangsdatum: 13 september 2022

Verantwoorde Openbaarmaking

De veiligheid en beveiliging van onze klanten is een essentiële prioriteit voor Tidal Control, en we zijn hieraan toegewijd. Hiervoor heeft Tidal Control dit beleid geformaliseerd voor het accepteren van kwetsbaarheidsrapporten in onze producten.

Wij hopen een open samenwerking met de beveiligingsgemeenschap te bevorderen, en we erkennen dat het werk dat de gemeenschap doet belangrijk is om de veiligheid en beveiliging voor al onze klanten te blijven waarborgen.

We hebben dit beleid ontwikkeld om zowel onze bedrijfswaarden te weerspiegelen als om onze juridische verantwoordelijkheid naar beveiligingsonderzoekers die te goeder trouw handelen en ons voorzien van hun expertise, na te komen.

Deze Verantwoorde Openbaarmaking is opgesteld met hulp van NTIA Safety Working Group's Vulnerability Disclosure Template Version 1.1.

Reikwijdte

Dit Kwetsbaarheidsopenbaarmakingsprogramma dekt in eerste instantie de volgende producten:

Hoewel Tidal Control andere producten ontwikkelt, vragen we alle beveiligingsonderzoekers om kwetsbaarheidsrapporten alleen in te dienen voor de genoemde productlijst. We zijn van plan onze reikwijdte uit te breiden naarmate we andere producten ontwikkelen.

Juridische Houding

Wij zullen geen juridische stappen ondernemen tegen personen die kwetsbaarheidsrapporten indienen bij het Security Team van Tidal Control. Wij accepteren openlijk rapporten voor de momenteel vermelde producten. Wij komen overeen geen juridische stappen te ondernemen tegen personen die:

  • Testen van systemen/onderzoek uitvoeren zonder Tidal Control of zijn klanten te schaden.
  • Kwetsbaarheidstesten uitvoeren binnen de reikwijdte van ons programma voor openbaarmaking van kwetsbaarheden.
  • Testen uitvoeren op producten zonder klanten te beïnvloeden, of toestemming/instemming van klanten verkrijgen voordat zij kwetsbaarheidstesten uitvoeren op hun apparaten/software, etc.
  • Zich houden aan de wetten van hun locatie en de locatie van Tidal Control. Bijvoorbeeld, het overtreden van wetten die alleen zouden resulteren in een claim door Tidal Control (en niet een strafrechtelijke claim) kan aanvaardbaar zijn omdat Tidal Control de activiteit autoriseert (reverse engineering of het omzeilen van beveiligingsmaatregelen) om zijn systeem te verbeteren.
  • Afzien van het openbaar maken van kwetsbaarheidsdetails aan het publiek voordat een wederzijds overeengekomen tijdsbestek is verstreken.

Algemene Voorwaarden

Door informatie in te dienen binnen de reikwijdte en context van dit Beleid ("het Rapport") aan Tidal Control:

  • Gaat u ermee akkoord dat u te goeder trouw handelt en zich verbindt aan de richtlijnen die in dit beleid zijn uiteengezet.
  • Gaat u ermee akkoord dat Tidal Control het Rapport mag gebruiken om zijn software bij te werken en/of te verbeteren; en verleent u aan Tidal Control een niet-exclusieve, eeuwigdurende, onherroepelijke, wereldwijde, royaltyvrije licentie, met het recht om sublicenties te verlenen aan licentiehouders en klanten van Tidal Control, onder alle relevante intellectuele eigendomsrechten, om het Rapport te gebruiken, publiceren en openbaar te maken op elke manier die Tidal Control kiest en om de producten of diensten van Tidal Control en zijn sublicentiehouders die het Rapport bevatten, weer te geven, uit te voeren, te kopiëren, te maken, te laten maken, te gebruiken, te verkopen, en er anderszins over te beschikken op elke manier en via elk medium dat Tidal Control kiest, zonder verwijzing naar de bron. Tidal Control zal gerechtigd zijn om het Rapport voor elk doel te gebruiken zonder beperking of vergoeding van welke aard dan ook met betrekking tot U en/of Uw vertegenwoordigers.

Hoe een Kwetsbaarheid in te dienen

Om een kwetsbaarheidsrapport in te dienen bij het Security Team van Tidal Control, stuur een e-mail naar security@tidalcontrol.com

Voorkeuren, Prioritering en Acceptatiecriteria

We zullen de volgende criteria gebruiken om inzendingen te prioriteren en te triage.

Wat we graag van u zien

  • Goed geschreven rapporten in het Engels
  • Rapporten die proof-of-concept code bevatten
  • Rapporten die meer bevatten dan alleen crash dumps of andere geautomatiseerde tool-output
  • Rapporten die beschrijven hoe u de bug heeft gevonden, de impact, en eventuele remediatie.

Wat u van ons kunt verwachten

  • Een tijdige reactie op uw e-mail
  • Na triage zullen we een verwachte tijdlijn sturen, en ons ertoe verbinden zo transparant mogelijk te zijn over de remediatietijdlijn en over problemen of uitdagingen die deze kunnen verlengen.
  • Een open dialoog om problemen te bespreken.
  • Kennisgeving wanneer de kwetsbaarheid is gevalideerd en opgelost.