Beleid inzake verantwoorde openbaarmaking van Foxit Software

Foxit neemt beveiliging zeer serieus en streeft ernaar de meest veilige oplossingen en diensten van de sector te bieden om klantgegevens en systemen veilig te houden. Foxit onderzoekt alle ontvangen meldingen over beveiligingsproblemen en voert de best mogelijke handelingen uit om onze klanten te beschermen. Foxit gelooft dat de samenwerking met ervaren beveiligingsonderzoekers zwakke plekken in elke technologie kan blootleggen.

Als u een beveiligingsonderzoeker bent en een beveiligingsprobleem in onze producten en diensten hebt ontdekt, stellen wij het op prijs als u dit op een verantwoorde manier aan ons meldt.

Als u een geverifieerd beveiligheidsprobleem identificeert in overeenstemming met het beleid van Foxit inzake verantwoorde openbaarmaking, zegt het beveiligingsteam van Foxit het volgende toe:

  • U een snelle ontvangstbevestiging van uw melding van het beveiligingsprobleem te geven (binnen 48 werkuren na indiening)
  • Nauw met u samen te werken om de aard van het probleem te begrijpen en samen een tijdschema voor de fix/openbaarmaking op te stellen
  • U ervan op de hoogte te stellen wanneer het beveiligingsprobleem is verholpen, zodat het opnieuw kan worden getest en het verhelpen ervan kan worden bevestigd.
  • Een beschrijving te plaatsen in een beveiligingsbulletin wanneer de fix wordt vrijgegeven, waarin ook uw bijdrage wordt vermeld.
  • Indien nodig, een beveiligingsadvies te plaatsen

Een mogelijk beveiligingsprobleem melden:

  • Stuur een e-mail naar [email protected] om een GPG-sleutel aan te vragen
  • Deel op vertrouwelijke wijze de details van het vermoedelijke beveiligingsprobleem in de Foxit Software door een met de GPG-sleutel versleutelde e-mail te sturen naar [email protected]
  • Geef alle details over het vermoede beveiligingsprobleem, zodat het beveiligingsteam van Foxit het kan valideren en reproduceren

Foxit staat sommige vormen van beveiligingsonderzoek niet toe:

Om een verantwoorde openbaarmaking aan te moedigen, vragen wij alle onderzoekers de volgende Richtlijnen voor verantwoorde openbaarmaking na te leven:

  • Geef ons een redelijke hoeveelheid tijd om het probleem te verhelpen alvorens u het openbaar maakt aan het publiek of een derde partij. Wij streven ernaar kritieke problemen zo snel mogelijk op te lossen.
  • Probeer te goeder trouw te voorkomen dat de privacy wordt geschonden, gegevens worden vernietigd of de werking van de Foxit Software wordt onderbroken of aangetast.

Tijdens het onderzoek zijn de volgende handelingen uitdrukkelijk verboden:

  • Het uitvoeren van handelingen die Foxit en zijn gebruikers negatief kunnen beïnvloeden (bijvoorbeeld door spam, brute force, denial of service...)
  • Toegang verkrijgen of proberen toegang te verkrijgen tot gegevens of informatie die niet aan u toebehoren
  • Het vernietigen of aantasten, of het proberen te vernietigen of aan te tasten van gegevens of informatie die niet aan u toebehoren
  • Het uitvoeren van enige fysieke of elektronische aanval op het personeel, de eigendommen of datacentra van Foxit
  • Social engineering van een servicedesk, werknemer of contractant van Foxit
  • Het overtreden van wetten of het schenden van overeenkomsten om beveiligingsproblemen te ontdekken

De Chief Security Officer en General Counsel van Foxit beoordelen jaarlijks ons beleid inzake de openbaarmaking van beveiligingsproblemen vanuit een juridisch en operationeel perspectief.

Foxit wil elke individuele onderzoeker bedanken die een melding van een beveiligingsprobleem indient en ons helpt de algehele beveiliging bij Foxit te verbeteren.