Si prega di utilizzare questa pagina per segnalare potenziali vulnerabilità di sicurezza nei prodotti e nel software. Ulteriori informazioni sulla comunicazione delle vulnerabilità di sicurezza sono disponibili nelle seguenti linee guida.
Direttiva sulla divulgazione delle vulnerabilità
Zumtobel è un fornitore di soluzioni di illuminazione integrate per l'illuminazione professionale di interni ed esterni, e offre una gamma completa di apparecchi di illuminazione, sistemi di controllo dell'illuminazione e sensori multiuso di alta qualità per varie applicazioni di illuminazione professionale. In qualità di produttore di sistemi di controllo e software tecnologicamente avanzati, la sicurezza è un valore fondamentale per Zumtobel. Zumtobel si impegna a tutelare la sicurezza degli utenti dei propri prodotti e software, garantendo al tempo stesso la protezione della loro privacy e dei loro dati.
Zumtobel apprezza il contributo di ricercatori di sicurezza esterni che agiscono in buona fede per aiutare Zumtobel a mantenere un elevato standard di protezione dei dati per i nostri utenti e sistemi: pertanto, questa linea guida offre ai ricercatori di sicurezza istruzioni chiare su come condurre le attività di comunicazione delle vulnerabilità e indica le nostre preferenze nella segnalazione delle vulnerabilità scoperte.
Ti invitiamo a contattarci per segnalare potenziali vulnerabilità di sicurezza nei prodotti e nel software.
Se ti impegni in buona fede a rispettare questa linea guida durante le tue ricerche sulla sicurezza, Zumtobel tratterà la questione in modo responsabile e collaborerà con chi ha segnalato la vulnerabilità di sicurezza per comprendere e infine risolvere il problema.
Nell'ambito di questa linea guida, per "ricerca" si intendono le attività in cui:
Ci informi il prima possibile se hai scoperto un problema di sicurezza effettivo o potenziale.
Si impegni al massimo per evitare violazioni della privacy, compromissioni dell'esperienza utente, interruzioni dei sistemi di produzione e distruzione o manipolazione dei dati.
Utilizzi gli exploit solo nella misura necessaria per confermare l'esistenza di una vulnerabilità. Non utilizzi alcun exploit per compromettere o esfiltrare dati al fine di stabilire un accesso persistente alla riga di comando, e non utilizzi l'exploit per accedere ad altri sistemi.
Una volta accertata l'esistenza di una violazione della sicurezza o di dati sensibili (incluse informazioni personali, informazioni finanziarie o informazioni riservate o segreti commerciali di una parte), è necessario annullare immediatamente il test e informarci immediatamente. Non puoi condividere queste informazioni con nessun altro.
Questa linea guida si applica ai seguenti sistemi e servizi: prodotti Zumtobel, firmware associato e software relativo al prodotto.
Segnalare una vulnerabilità di sicurezza.
Le informazioni trasmesse nell'ambito di questa direttiva saranno utilizzate esclusivamente per scopi difensivi: per mitigare o risolvere le vulnerabilità. Se le tue scoperte rivelano vulnerabilità che riguardano tutti gli utenti di un prodotto o servizio e non solo Zumtobel, potremmo inoltrare la tua segnalazione con informazioni anonime alle parti interessate, come fornitori, partner di cooperazione, rivenditori e clienti, senza un'autorizzazione esplicita.
Accettiamo segnalazioni di vulnerabilità via e-mail a product-security(a)zumtobelgroup.com. Le richieste che non riguardano vulnerabilità nei nostri prodotti, firmware o software relativo ai prodotti non verranno elaborate.
Le segnalazioni possono essere effettuate in forma anonima.
Regole di rendicontazione
Per aiutarci a esaminare e dare priorità alle presentazioni, consigliamo che il Suo rapporto:
Se possibile, avvenga in inglese
Includa una descrizione del problema
Il numero di articolo del prodotto in questione contiene
Includa la data di fabbricazione del prodotto, (se applicabile)
Includa la versione del software (se applicabile)
Descriva il luogo in cui è stata scoperta la vulnerabilità o il problema di sicurezza, nonché i potenziali effetti dello sfruttamento.
Fornisca una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità (gli script proof-of-concept o gli screenshot sono utili)
Includa ciò che puoi aspettarti da noi / tempi di risposta
Includa i tuoi dati di contatto, così potremo impegnarci a comunicare con te nel modo più diretto e rapido possibile.
Confermeremo la ricezione del tuo rapporto entro 5 giorni lavorativi, sabati esclusi.
Dopo essere stati informati di una violazione delle linee guida, ti forniremo un aggiornamento sullo stato ogni 20 giorni di calendario, fino a quando i problemi di sicurezza segnalati non saranno risolti.