SharkNinja og dets tilknyttede selskaper («SharkNinja») er forpliktet til å beskytte konfidensialiteten til forbrukernes og de ansattes personopplysninger, tilgjengeligheten til sine nettsteder og informasjonssystemer, samt sikkerheten til våre enheter som er koblet til Internett. Vi bygger sikkerhet inn i våre plattformer og tilkoblede produkter og overholder gjeldende sikkerhetskrav for IoT. Denne policyen er ment å gi sikkerhetsforskere klare retningslinjer for å gjennomføre aktiviteter for å oppdage sårbarheter, og å formidle våre preferanser for hvordan oppdagede sårbarheter skal sendes til oss for gjennomgang. Vi oppfordrer deg til å kontakte oss for å rapportere sårbarheter i våre nettsteder, systemer og produkter
Hvis du i god tro forsøker å overholde denne policyen under sikkerhetsforskningen din, vil vi anse forskningen din som autorisert utelukkende i den grad den oppfyller alle vilkårene i denne policyen og faller innenfor det definerte omfanget nedenfor, og vi vil samarbeide med deg for å forstå og løse rapporterte problemer raskt. SharkNinja vil ikke anbefale eller iverksette rettslige tiltak knyttet til din forskning, forutsatt at du ikke har overskredet omfanget av denne policyen, handlet i ond tro eller brutt gjeldende lovgivning
Vær oppmerksom på at SharkNinja ikke driver et bug bounty-program og ikke tilbyr belønning eller kompensasjon i bytte for innrapportering av potensielle sikkerhetsproblemer eller sårbarheter.
Retningslinjer
SharkNinja foreslår følgende retningslinjer for forskere som kan rapportere en sårbarhet eller utføre legitim forskning. I henhold til denne policyen betyr «forskning» aktiviteter der du:
- Gi oss beskjed så snart som mulig etter at du har oppdaget et reelt eller potensielt sikkerhetsproblem
- Gjør alt for å unngå brudd på personvernet, forringelse av brukeropplevelsen, forstyrrelser i produksjonssystemer og ødeleggelse eller manipulering av data
- Bruk kun utnyttelser i den grad det er nødvendig for å bekrefte tilstedeværelsen av en sårbarhet
- Ikke bruk en utnyttelse for å kompromittere eller eksfiltrere data, etablere vedvarende uautorisert tilgang eller bruke utnyttelsen til å bevege deg videre til andre systemer
- Gi oss rimelig tid til å løse problemet før du offentliggjør det
Når du har fastslått at det foreligger en sårbarhet eller støter på sensitive data (inkludert personlig identifiserbar informasjon, finansiell informasjon eller proprietær informasjon eller forretningshemmeligheter tilhørende noen part), må du avbryte testen, varsle oss umiddelbart og ikke videreformidle disse dataene til noen andre. Du må slette eller destruere slike sensitive data i din besittelse permanent så snart som praktisk mulig etter å ha varslet SharkNinja, og bekrefte slik destruksjon på forespørsel. Du samtykker i å holde alle detaljer om oppdagede sårbarheter konfidensielle inntil SharkNinja har bekreftet at sårbarheten er utbedret eller skriftlig har godkjent offentliggjøring
Rapportere en sårbarhet
Vennligst send e-post til [email protected] for å rapportere en sårbarhet. For å hjelpe oss med å sortere og prioritere innmeldinger, anbefaler vi at rapporten din inneholder:
- Når sårbarheten eller problemet ble identifisert
- Beskriv systemet eller produktet der sårbarheten ble oppdaget
- Beskriv trinnene som kreves for å gjenskape sårbarheten
- Eventuelle forslag til utbedring eller ideer for å løse sårbarheten
SharkNinja forplikter seg til å bekrefte mottak av alle innmeldinger innen tre virkedager og setter pris på deltakelse i dette programmet.
For avsløringer av sårbarheter knyttet til tilkoblede (eller «IoT») produkter vil SharkNinja gi jevnlige oppdateringer inntil den rapporterte sårbarheten er løst.
Omfang
Omfanget av dette programmet inkluderer alle SharkNinja-nettsteder som eies eller lisensieres av selskapet; alle forretningssystemer som er koblet til Internett; samt Internett-tilkoblede produkter og tilhørende mobilapplikasjoner. Programmet inkluderer ikke:
- Sosial manipulering eller phishing-kampanjer rettet mot SharkNinja-ansatte
- Denial of Service (DoS)-angrep mot SharkNinja-nettsteder eller forretningsapplikasjoner
- Andre uautoriserte aktiviteter med ondsinnet hensikt
Ta kontakt med SharkNinja på [email protected] hvis du har spørsmål om dette programmet eller ønsker å rapportere en sårbarhet.