Gebruik deze pagina om potentiële beveiligingslekken in producten en software te melden. Meer informatie over de openbaarmaking van beveiligingslekken vindt u in de volgende richtlijnen.
Richtlijn voor de openbaarmaking van beveiligingslekken
Zumtobel is een aanbieder van geïntegreerde verlichtingsoplossingen voor professionele binnen- en buitenverlichting en biedt een uitgebreid assortiment van hoogwaardige armaturen, lichtregelsystemen en multifunctionele sensoren voor diverse toepassingen in de professionele verlichting. Als fabrikant van technologisch geavanceerde besturingssystemen en software is veiligheid eveneens een centrale waarde bij Zumtobel. Daarom verplicht Zumtobel zich ertoe de veiligheid van de gebruikers van Zumtobel-producten en -software te waarborgen door hun privacy en gegevens te beschermen.
Aangezien Zumtobel de bijdrage van externe beveiligingsonderzoekers waardeert die te goeder trouw handelen om Zumtobel te helpen een hoog niveau van gegevensbescherming voor onze gebruikers en systemen te handhaven, is dit beleid bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het uitvoeren van activiteiten voor het melden van kwetsbaarheden en om onze voorkeuren te communiceren bij het melden van ontdekte kwetsbaarheden aan ons.
Wij raden u ten zeerste aan om contact met ons op te nemen om mogelijke beveiligingslekken in producten en software te melden.
Als u zich te goeder trouw inspant om dit beleid tijdens uw beveiligingsonderzoek na te leven, zal Zumtobel dit verantwoordelijk behandelen en samenwerken met de melder van het beveiligingslek om het probleem te begrijpen en uiteindelijk op te lossen.
In het kader van deze richtlijn betekent "onderzoek" activiteiten waarbij u:
ons zo snel mogelijk op de hoogte stelt als u een werkelijk of mogelijk veiligheidsprobleem hebt ontdekt.
Doe je uiterste best om schendingen van de privacy, verstoringen van de gebruikerservaring, storingen in de productiesystemen en de vernietiging of manipulatie van gegevens te vermijden.
Gebruik exploits alleen voor zover dat nodig is om het bestaan van een kwetsbaarheid te bevestigen. Gebruik geen exploit om gegevens te compromitteren of te exfiltreren, om permanente toegang tot de opdrachtregel te vestigen, en gebruik de exploit niet om toegang te krijgen tot andere systemen.
Zodra u heeft vastgesteld dat er een beveiligingslek is of dat u gevoelige gegevens bent tegengekomen (inclusief persoonlijke informatie, financiële informatie of vertrouwelijke informatie of bedrijfsgeheimen van een partij), moet u uw test onmiddellijk stopzetten en ons direct op de hoogte stellen. U mag deze gegevens niet aan andere personen doorgeven.
Deze richtlijn geldt voor de volgende systemen en diensten: Zumtobel-producten, bijbehorende firmware en productgerelateerde software.
Een beveiligingslek melden
Informatie die in het kader van dit beleid wordt verstrekt, wordt uitsluitend voor defensieve doeleinden gebruikt – om kwetsbaarheden te verminderen of te verhelpen. Als uw bevindingen kwetsbaarheden aan het licht brengen die alle gebruikers van een product of dienst treffen en niet alleen Zumtobel, kunnen we uw rapport met geanonimiseerde informatie zonder uitdrukkelijke toestemming doorsturen naar betrokken partijen zoals leveranciers, samenwerkingspartners, detailhandelaren en klanten.
Wij accepteren kwetsbaarheidsrapporten per e-mail naar product-security(a)zumtobelgroup.com. Verzoeken die geen betrekking hebben op kwetsbaarheden in onze producten, firmware of productgerelateerde software worden niet behandeld.
Meldingen kunnen anoniem worden gedaan.
Om ons te helpen bij het beoordelen en prioriteren van inzendingen, raden wij u aan dat uw rapport:
Indien mogelijk in het Engels
Een beschrijving van het probleem omvat
Het artikelnummer van het betreffende product bevat
Geeft de fabricagedatum van het product aan (indien van toepassing)
De softwareversie vermeldt (indien van toepassing)
De locatie waar de kwetsbaarheid of het beveiligingsprobleem werd ontdekt, evenals de mogelijke gevolgen van de exploitatie, wordt beschreven.
De stappen die nodig zijn om het beveiligingslek te reproduceren (proof-of-concept-scripts of screenshots zijn handig) gedetailleerd beschrijft
Bevat wat u van ons kunt verwachten / antwoordtijden
Uw contactgegevens vermelden, zodat wij ons kunnen verplichten om zo transparant en snel mogelijk met u te communiceren.
Wij zullen u binnen 5 werkdagen, behalve op zaterdag, bevestigen dat uw melding is ontvangen.
Nadat we op de hoogte zijn gebracht van een schending van de richtlijnen, zullen we u elke 20 kalenderdagen een statusupdate geven totdat de gemelde veiligheidsproblemen zijn opgelost.