För pris ring: 013-31 71 73 FÖR PRIS

No New
No New

Ansvarsfull rapportering

Inledning

Verisure har åtagit sig att säkerställa säkerheten för våra produkter, system och alla kund-, partner- och medarbetaruppgifter. Vi värdesätter samarbete med våra användare och “etiska hackare” som kan bidra till identifiering av brister i säkerheten av våra produkter och system. Policyn beskriver en process för ansvarsfull rapportering av sårbarheter med målet att underlätta effektivt samarbete och snabba åtgärder av säkerhetsrisker.

Denna policy fastställer riktlinjer för rapportering och hantering av brister i säkerheten på ett ansvarsfullt sätt och i enlighet med reglerna nedan. Den gäller för alla sårbarheter som du avser att rapportera till Verisure.

Vi rekommenderar att du läser denna policy i sin helhet innan du rapporterar en potentiell säkerhetsrisk.

Observera att Verisure inte erbjuder någon ekonomisk belöning för rapportering av eventuella säkerhetsrisker. Förklaring till ord skrivna i versaler finns i dokumentets avsnitt för definitioner.

Hur man rapporterar en sårbarhet

Verisure undersöker alla rapporter om säkerhetsrisker som påverkar produkter och tjänster. Om du tror att du har upptäckt en sårbarhet i en Verisureprodukt- eller tjänst ska du skicka in en rapport via formuläret nedan med utförlig information så att vi kan återskapa och undersöka situationen. Alla obligatoriska fält måste fyllas i korrekt och det är viktigt att tänka på konfidentialiteten när du rapporterar en säkerhetsrisk enligt denna policy. Vi ber dig att inte avslöja dina observationer för någon förrän Verisure har slutfört sin utredning, löst eller mitigerat säkerhetsrisken och gett dig tillstånd att offentliggöra din upptäckt.

Du hittar formuläret på den här sidan https://www.verisure.com/responsible-disclosure-policy

Nästa steg

När du har skickat in din rapport kommer Verisure att bekräfta att rapporten har mottagits och därefter påbörjas genomgång av rapporten. Verisure kan kontakta den som rapporterade via den anonyma webbportalen för att be om ytterligare information och för att lämna uppdateringar om hur undersökningen fortskrider.

Vår interna process för att ta itu med sårbarheter börjar med att vi granskar rapporten och fastställer säkerhetsriskens inverkan, svårighetsgrad och komplexitet innan åtgärder vidtas.

Verisure förbehåller sig rätten att dela innehållet i den inlämnade rapporten samt eventuella resultat med berörda parter, men kommer inte att avslöja detaljer som är förknippade med den som rapporterar.

Produkter eller tjänster från tredje part

Produkter, system och uppgifter som inte ägs av Verisure omfattas inte av denna policy. Den som rapporterar måste följa de policyer för ansvarsfullt avslöjande som görs tillgängliga av tredje part om de vill undersöka eller testa sådana system.

Regler för agerande

Verisure uppskattar alla insatser och bidrag från de som arbetar med säkerhetsutvärdering och ber dig att följa angivna regler. Verisure kommer inte att vidta rättsliga åtgärder mot den som rapporterar om säkerhetsbrister i god tro och i enlighet med denna policy.

Den som rapporterar får inte:

  • Bryta mot tillämpliga lagar eller förordningar.
  • Introducera en ny sårbarhet eller försöka att utnyttja en befintlig säkerhetsrisk.
  • Exponera kunder eller anställda för social manipulering eller nätfiske.
  • Efterfråga ekonomisk ersättning i utbyte mot rapportering av en sårbarhet.
  • Utnyttja system eller uppgifter utöver vad som är nödvändigt för att identifiera och rapportera en sårbarhetsrisk.
  • Manipulera larm eller system som tillhör befintliga kunder, även om det är deras egna.
  • Ändra, kopiera, dela, korrumpera eller på annat sätt påverka uppgifter som behandlas eller lagras i Verisures produkter eller system.
  • Använda högintensiva, invasiva eller destruktiva skanningsverktyg för att söka efter sårbarheter eller bedriva störande aktiviteter inklusive, men inte begränsat till, brute force-attack, överbelastningsattacker eller fysiska attacker mot Verisures anläggningar eller datacenter.
  • Avbryta larmsignaler och meddelanden eller fysiskt manipulera ett eget larmsystem på något sätt.
  • Utföra tester eller undersökning gentemot tredjepartstjänster- eller system som inte tillhör Verisure, t.ex. mot en extern molnleverantörs infrastruktur.
  • Utnyttja oväsentliga, överdrivet stora eller betydande uppgifter utöver vad som krävs för att upptäcka och bekräfta en sårbarhet.

Den som rapporterar ska:

  • Endast utnyttja uppgifter och system i den utsträckning som krävs för att bekräfta förekomsten av en säkerhetsrisk.
  • Avsluta undersökningar och/eller tester när det är bekräftat att en sårbarhet föreligger och därefter rapportera resultaten till Verisure utan dröjsmål.
  • Radera, på ett säkert sätt, alla uppgifter som hämtats i samband med undersökningen så snart sårbarheten har rapporterats och bekräftelse på mottagande har erhållits från Verisure.
  • Invänta skriftligt godkännande från Verisure innan detaljer om säkerhetsrisken offentliggörs. Innehållet i rapporteringen måste också godkännas av Verisure.

Vad du inte ska skicka in:

  • Flera rapporter avseende samma sårbarhet.
  • Skicka in rapporter som beskriver sårbarheter som inte kan exploateras som säkerhetsrisker.
  • Fel i användargränssnitt, fel i användarupplevelsen eller stavfel.
  • Rapporter om produkter och tjänster som inte följer “bästa praxis”, såsom avsaknad av säkerhetsrubriker eller egen XSS attack (cross-site scripting).

Verisure ska:

  • Bekräfta mottagandet av rapporten inom 30 dagar efter att den inkommit.
  • Uppdatera den som rapporterar med status varannan vecka, från och med ovanstående mottagarbekräftelse och fram till dess att rapporten anses stängd.
  • Lämna ett skriftligt beslut om huruvida den som rapporterar kan offentliggöra sårbarheten eller ej. Om tidigare överenskommelse finns så ska Verisure ha rätt att granska innehållet i rapporteringen före publicering.

Definitioner

Sårbarhet

Säkerhetsrisk som i Verisures produkter eller tjänster som utgör ett problem i programvara eller maskinvarukomponenter som, när de utnyttjas, kan leda till en negativ inverkan på konfidentialitet, integritet eller tillgänglighet för Verisures data eller tjänster.

Verisures produkt/tjänst

Produkter eller system som har utvecklats eller tillverkats av Verisure. Produkter, system och uppgifter som inte ägs av Verisure omfattas inte av denna policy.

Frågor och support

Verisures säkerhetsteam har givits uppgiften att hantera rapportering om sårbarheter. De kan kontaktas genom att fylla i och skicka in formuläret på den här sidan https://www.verisure.com/responsible-disclosure-policy.