Op deze pagina kun je mogelijke beveiligingsproblemen van producten of software melden. Bekijk de volgende richtlijnen voor meer informatie over het melden van beveiligingsproblemen.
Beleid voor het melden van kwetsbaarheden
Thorn is een aanbieder van geïntegreerde verlichtingsoplossingen voor professionele binnen- en buitentoepassingen en biedt een uitgebreid assortiment hoogwaardige armaturen, lichtregelsystemen en multifunctionele sensoren voor diverse toepassingen in professionele verlichtingsprojecten. Ook veiligheid is een kernwaarde van THORN als fabrikant van hoogtechnologische besturingssystemen en software. Daarom zet THORN zich in om de veiligheid van gebruikers van THORN-producten en -software te waarborgen door hun privacy en gegevens te beschermen.
Omdat THORN de bijdrage van externe beveiligingsaudits waardeert, die te goeder trouw handelen zodat THORN een hoge standaard van privacybescherming voor onze gebruikers en systemen kan handhaven, is dit beleid bedoeld om duidelijke richtlijnen te bieden voor beveiligingsaudits bij het uitvoeren van activiteiten voor het openbaar maken van beveiligingsproblemen en om onze voorkeuren voor het rapporteren van gedetecteerde problemen uiteen te zetten.
We raden je ten zeerste aan om contact met ons op te nemen voor de melding van mogelijke beveiligingsproblemen in producten of software.
Als je tijdens je beveiligingsaudit te goeder trouw aan dit beleid voldoet, zal THORN dit op een verantwoorde manier behandelen en samenwerken met de melder van het probleem om een oplossing te bieden.
Volgens dit beleid betekent 'audit' activiteiten waarbij je:
Ons zo snel mogelijk informeert nadat je een daadwerkelijk of mogelijk beveiligingsprobleem hebt gedetecteerd.
Je er alles aan doet om privacyschendingen, een afname van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
Dit alleen gebruikt voor zover nodig om de aanwezigheid van een probleem te bevestigen. Dit niet gebruikt om gegevens te compromitteren of te exfiltreren, om persistente toegang tot commandoregels te verkrijgen, of om naar andere systemen te wisselen.
Zodra je een probleem vaststelt of gevoelige gegevens identificeert (waaronder persoonsgegevens, financiële gegevens, bedrijfsinformatie of handelsgeheimen van enig welke partij), moet je de test onderbreken, ons onmiddellijk op de hoogte stellen en deze gegevens niet aan anderen bekendmaken.
Dit beleid is van toepassing op de volgende systemen en diensten van Thorn: Thorn-producten, bijbehorende firmware en productgerelateerde software.
Een beveiligingsprobleem rapporteren
Informatie die onder dit beleid wordt ingediend, zal uitsluitend voor defensieve doeleinden worden gebruikt om kwetsbaarheden tegen te gaan of te verhelpen. Als je bevindingen resulteren in beveiligingsproblemen die van invloed zijn op alle gebruikers van een product of dienst en niet alleen op Thorn, kunnen we je rapport met anonieme informatie delen met betrokken partijen zoals leveranciers, partners, distributeurs en klanten, zonder uitdrukkelijke toestemming.
We accepteren meldingen van beveiligingsproblemen via een e-mail gericht aan product-security(at)zumtobelgroup.com. Inzendingen die geen verband houden met beveiligingsproblemen van onze producten, firmware of productgerelateerde software zullen niet worden verwerkt.
Meldingen kunnen anoniem worden ingediend.
Richtlijnen voor rapportage
Om ons te helpen bij het sorteren en prioriteren van inzendingen, raden we je aan om je melding in te dienen:
In het Engels (indien mogelijk)
Bevat een beschrijving van het probleem
Met vermelding van het artikelnummer van het betreffende product
Met vermelding van de productiedatum (indien van toepassing)
Geeft de softwareversie aan (indien van toepassing)
Met een beschrijving van de locatie waar het beveiligingsproblemen werd gedetecteerd en de mogelijke impact van de exploitatie
Bevat een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept scripts of screenshots zijn nuttig)
Wat je van ons kunt verwachten / reactietijden.
Wanneer je ervoor kiest om je contactgegevens met ons te delen, beloven we je onze open samenwerking binnen een zo kort mogelijke tijd.
Binnen 5 werkdagen, uitgezonderd zaterdagen, zullen we bevestigen dat je melding werd ontvangen.
Wanneer we op de hoogte worden gesteld van een nalevingsprobleem, zullen we je elke 20 kalenderdagen een statusupdate verstrekken tot het gemelde beveiligingsprobleem is opgelost.