SharkNinja en haar gelieerde ondernemingen (“SharkNinja”) zetten zich in voor de bescherming van de vertrouwelijkheid van persoonlijke gegevens van consumenten en werknemers, de beschikbaarheid van haar websites en informatiesystemen, en de beveiliging van onze apparaten die met het internet zijn verbonden. We bouwen beveiliging in onze platforms en verbonden producten in en voldoen aan de toepasselijke IoT-beveiligingsvereisten. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het uitvoeren van activiteiten om kwetsbaarheden op te sporen en om onze voorkeuren kenbaar te maken over hoe ontdekte kwetsbaarheden aan ons ter beoordeling kunnen worden voorgelegd. We moedigen u aan contact met ons op te nemen om kwetsbaarheden in onze websites, systemen en producten te melden
Als u zich tijdens uw beveiligingsonderzoek te goeder trouw inspant om aan dit beleid te voldoen, zullen wij uw onderzoek uitsluitend als geautoriseerd beschouwen voor zover het voldoet aan alle voorwaarden van dit beleid en binnen de hieronder gedefinieerde reikwijdte valt, en zullen wij met u samenwerken om gemelde problemen snel te begrijpen en op te lossen. SharkNinja zal geen juridische stappen aanbevelen of ondernemen met betrekking tot uw onderzoek, op voorwaarde dat u de reikwijdte van dit beleid niet hebt overschreden, niet te kwader trouw hebt gehandeld of geen toepasselijke wetgeving hebt overtreden
Houd er rekening mee dat SharkNinja geen bug bounty-programma heeft en geen beloning of compensatie aanbiedt in ruil voor het melden van mogelijke beveiligingsproblemen of kwetsbaarheden.
Richtlijnen
SharkNinja stelt de volgende richtlijnen voor aan onderzoekers die een kwetsbaarheid melden of legitiem onderzoek verrichten. Onder dit beleid betekent “onderzoek” activiteiten waarbij u:
- Ons zo snel mogelijk op de hoogte stelt nadat u een reëel of potentieel beveiligingsprobleem hebt ontdekt
- Alles in het werk stelt om schendingen van de privacy, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen
- Exploits alleen gebruikt voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen
- Geen exploit gebruikt om gegevens te compromitteren of te exfiltreren, permanente ongeoorloofde toegang te verkrijgen of de exploit te gebruiken om door te dringen naar andere systemen
- ons een redelijke termijn geeft om het probleem op te lossen voordat u het openbaar maakt
Zodra u hebt vastgesteld dat er een kwetsbaarheid bestaat of u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of handelsgeheimen van welke partij dan ook), moet u uw test stoppen, ons onmiddellijk op de hoogte stellen en deze gegevens aan niemand anders bekendmaken. U moet dergelijke gevoelige gegevens in uw bezit zo snel mogelijk na het informeren van SharkNinja definitief verwijderen of vernietigen, en op verzoek een verklaring van vernietiging overleggen. U stemt ermee in alle details van een ontdekte kwetsbaarheid vertrouwelijk te houden totdat SharkNinja heeft bevestigd dat de kwetsbaarheid is verholpen of schriftelijk toestemming heeft gegeven voor openbaarmaking
Een kwetsbaarheid melden
Stuur een e-mail naar [email protected] om een kwetsbaarheid te melden. Om ons te helpen bij het beoordelen en prioriteren van meldingen, raden we aan dat uw rapport het volgende bevat:
- Wanneer de kwetsbaarheid of het probleem werd vastgesteld
- Beschrijf het systeem of product waarin de kwetsbaarheid is ontdekt
- Beschrijf de stappen die nodig zijn om de kwetsbaarheid te reproduceren
- Eventuele suggesties of ideeën voor het verhelpen van de kwetsbaarheid
SharkNinja verbindt zich ertoe alle meldingen binnen 3 werkdagen te bevestigen en waardeert uw deelname aan dit programma.
Voor meldingen van kwetsbaarheden met betrekking tot verbonden (of “IoT”) producten zal SharkNinja regelmatig updates verstrekken totdat de gemelde kwetsbaarheid is opgelost.
Toepassingsgebied
Het toepassingsgebied van dit programma omvat alle SharkNinja-websites die eigendom zijn van of in licentie zijn gegeven door het bedrijf; alle bedrijfssystemen die in verbinding staan met het internet; en producten die verbonden zijn met het internet en bijbehorende mobiele applicaties. Het programma omvat niet:
- Social engineering- of phishingcampagnes gericht op medewerkers van SharkNinja
- Denial of Service (DoS)-aanvallen op websites of bedrijfsapplicaties van SharkNinja
- Alle andere ongeoorloofde activiteiten met kwaadwillige bedoelingen
Neem contact op met SharkNinja via [email protected] als u vragen hebt over dit programma of een kwetsbaarheid wilt melden.