Yale

นโยบายการเปิดเผยข้อมูล

ความรับผิดชอบต่อนโยบายการเปิดเผยข้อมูล

เยลเชื่อว่าการเปิดเผยข้อมูลเรื่องความไม่ปลอดภัยคือสิ่งจำเป็นต่อการปรับปรุงคุณภาพของสินค้าและบริการ เยลให้ความสำคัญต่อข้อมูลเชิงลึกจากกลุ่มผู้วิจัยด้านความปลอดภัยและยินดีที่จะเปิดเผยและให้ความร่วมมือ

ตามความรับผิดชอบของเราต่อขั้นตอนการเปิดเผยข้อมูล เยลจะทำงานร่วมกับนักวิจัยด้านความปลอดภัยและผู้ตรวจสอบหาความเสี่ยงเพื่อสร้างสินค้าและบริการของเราให้มีความปลอดภัยมากขึ้นโดยจัดให้มีขั้นตอนการรายงานความไม่ปลอดภัยแบบโดยส่วนตัว ถูกต้องตามกฎหมายและมีความชอบธรรม การเปิดเผยข้อมูลทำให้มั่นใจว่าโครงสร้างพื้นฐานด้านความปลอดภัยได้ผ่านการตรวจสอบแล้วและเชื่อถือได้ ขั้นตอนนี้ทำให้เราทำงานร่วมกับนักวิจัยเพื่อหาและลดความเสี่ยงได้อย่างรวดเร็ว ในสภาพการณ์ที่เปลี่ยนแปลงตลอดเวลา

ต่อไปนี้ คือ นโยบายการรับผิดชอบต่อการเปิดเผยข้อมูลของเยล

  • เยลจะเปิดเผยข้อมูลความไม่ปลอดภัยที่ได้รับทราบพร้อมการแก้ไขให้กับลูกค้าในลักษณะที่ปกป้องผู้ใช้สินค้าปลายทาง (end-users) การเปิดเผยข้อมูลของเยลจะให้เครดิตกับบุคคลแรกที่พบความเสี่ยง เว้นแต่บุคคลนั้นไม่ต้องการให้กล่าวถึง
  • เยล เปิดรับการสื่อสารและยินดีทำงานร่วมกับนักวิจัยด้านความปลอดภัยผู้มีความตั้งใจที่จะร่วมกันกับเยลในการปรับปรุงด้านความปลอดภัยและช่วยกันสื่อสารข้อมูล ทั้งเรื่องความเสี่ยงและวิธีการแก้ไขความเสี่ยงนั้น
  • เยลไม่มีโปรแกรมมอบของหรือเงินรางวัลให้แก่นักวิจัย แต่เยลจะให้การรับรองและประกาศเป็นลายลักษณ์อักษรให้สาธารณะรับทราบถึงผลงานของนักวิจัยด้านความปลอดภัยที่นำข้อมูลด้านความเสี่ยงที่ได้รับการพิสูจน์แล้วมาแจ้งกับบริษัทโดยตรง รวมถึงทำงานร่วมกับเยลในการประสานงานและสื่อสารต่อสาธารณะหลังจากได้แก้ไข ปรับปรุง และทดสอบแล้ว
  • นักวิจัยด้านความปลอดภัยได้รับอนุญาตให้โพสต์ลิงก์ไปยังคำประกาศให้การรับรองของเยลบนเว็บไซต์ของตนเอง เพื่อช่วยลดความเสี่ยงและช่วยปกป้องผู้ใช้ปลายทาง

เราขอความร่วมมือจากชุมชนนักวิจัยด้านความปลอดภัยในการเปิดเผยข้อมูลด้านความปลอดภัยต่อสาธารณะ 

อย่างไรก็ตาม การเปิดเผยเรื่องความปลอดภัยสู่สาธารณะก่อนเวลาอันควรโดยไม่แจ้งให้เยลทราบล่วงหน้าอาจสร้างความเสียหายให้กับผู้ใช้ปลายทาง การเปิดเผยข้อมูลที่ละเอียดอ่อนอาจทำให้ผู้คนและองค์กรตกอยู่ในอันตรายจากการโจมตีที่ประสงค์ร้าย

ด้วยเหตุนี้อัสซ่า อะบลอย จึงสนับสนุนอย่างยิ่งให้มีกระบวนการสองขั้นตอน: ขั้นแรก แจ้งประเด็นความไม่ปลอดภัยโดยตรงกับอัสซ่า อะบลอย เป็นการส่วนตัว เมื่อความไม่ปลอดภัยดังกล่าวได้รับการตรวจสอบและแก้ไขแล้ว เยลจะประสานงานเพื่อเปิดเผยต่อสาธารณะ ซึ่งรวมถึงการประกาศถึงการค้นพบของนักวิจัยด้านความปลอดภัย

เราขอให้นักวิจัยเข้าใจถึงการดำเนินงานของเราที่ต้องพิสูจน์  ตรวจสอบ  และการแก้ไขความเสี่ยง ซึ่งขึ้นอยู่กับความซับซ้อนและระดับความรุนแรง เราจะแจ้งให้ทราบเกี่ยวกับระยะเวลาดำเนินการ การเปลี่ยนแปลงต่างๆ และความร่วมมือที่เกิดขึ้นเท่าที่สามารถบอกได้ นอกจากนี้ เราขอให้นักวิจัยไม่ใช้การโจมตีโดยการปฏิเสธการให้บริการ (Denial of Service) หรือการใช้ข้อมูลส่วนบุคคลในช่วงที่ทำการทดสอบหรือช่วงที่ประเมินผล ถ้าจำเป็นต้องทำการทดสอบลักษณะดังกล่าว ขอให้ติดต่อเรา เพื่อจัดเตรียมผลิตภัณฑ์สำหรับทดสอบโดยเฉพาะเท่านั้น

เช่นเดียวกับบริษัทชั้นนำอื่นๆ เยลใช้แนวทางตามมมาตรฐานที่ดีที่สุดของอุตสาหกรรมในการเปิดเผยความเสี่ยงเพื่อปกป้องระบบนิเวศ มั่นใจได้ว่าลูกค้าจะได้ข้อมูลที่มีคุณภาพสูงที่สุด เราส่งเสริมการเปิดเผยข้อมูลต่อสาธารณะเกี่ยวกับแนวทางการปรับปรุงสินค้า, ระเบียบ, วิธีการ, มาตรฐานและแนวทางแก้ไข

ในส่วนของความรับผิดชอบของโปรแกรมเปิดเผยข้อมูล เยล 

 กำลังมองหาความร่วมมือกับนักวิจัยด้านความปลอดภัยผู้ที่สามารถปฏิบัติตามแนวทางการประสานงาน ความรับผิดชอบร่วมกันที่จะเผยข้อมูลความเสี่ยงต่อสาธารณะ เยลได้เชิญนักวิจัยด้านความปลอดภัยและนักพิสูจน์ความเสี่ยงอื่นๆ ที่มีความพยายามจะเข้าร่วมกับเราในครั้งนี้

แนวทางปฏิบัติ

ถ้าคุณพบความเสี่ยง กรุณาปฏิบัติตามแนวทางการรายงาน ในศูนย์ทรัพยากรด้านความปลอดภัยอัสซ่า อะบลอย เพื่อดูคำแนะนำในการรายงานความเสี่ยงที่คุณพบโดยตรงกับทีมรับผิดชอบด้านความปลอดภัยของอัสซ่า อะบลอย หรือคุณสามารถติดต่อกับเราได้โดยตรง ที่ productsecurity@assaabloy.com