และโซลูชั่น นโยบายความปลอดภัยของข้อมูล

แอนด์ โซลูชั่น Pte.จำกัด มุ่งมั่นที่จะจัดตั้ง บำรุงรักษา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูลอย่างต่อเนื่องภายใต้มาตรฐานการจัดการความปลอดภัยขององค์การระหว่างประเทศเพื่อมาตรฐาน (ISO/IEC 27001:2022) สำหรับการขาย การจัดส่ง และการสนับสนุนการทำงานของผลิตภัณฑ์ซอฟต์แวร์
บริษัท ปฏิบัติตามนโยบายความปลอดภัยของข้อมูลต่อไปนี้:

  1. ให้การรักษาความลับ ความซื่อสัตย์ และความพร้อมใช้งานของเนื้อหาข้อมูลทั้งหมดเพื่อให้แน่ใจว่าเนื้อหาข้อมูลทั้งหมดได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต

  2. ตรวจสอบการตรวจสอบนโยบายความปลอดภัยของข้อมูลและการปฏิบัติตามการปฏิบัติงานของฝ่ายบริหารเป็นระยะ

  3. ตรวจสอบให้แน่ใจว่าพนักงานและบุคคลที่เกี่ยวข้องทุกคนตระหนักถึงนโยบายและแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลของบริษัทเป็นอย่างดีผ่านการฝึกอบรมการรับรู้เป็นระยะ

  4. ตรวจสอบให้แน่ใจว่าการตรวจสอบภายในเป็นประจำสอดคล้องกับมาตรฐาน

  5. ดำเนินการประเมินความเสี่ยงอย่างเป็นทางการเป็นประจำพัฒนาและดำเนินการตามแผนปฏิบัติการลดความเสี่ยงเพื่อลดความเสี่ยงให้อยู่ในระดับต่ำสุดที่เป็นไปได้

  6. ปฏิบัติตามข้อกำหนดด้านกฎระเบียบและกฎหมาย

  7. จัดตั้ง นำไปใช้ และปรับปรุงระบบการจัดการการคุ้มครองข้อมูลอย่างต่อเนื่องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งกฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR)

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของข้อมูลและการปฏิบัติในการปกป้องข้อมูลของเรา กรุณาเยี่ยมชมพอร์ทัลความปลอดภัยของ AND Solutions

นโยบายการเปิดเผยช่องโหว่ AND Solutions

ติดต่อ

สำหรับทุกเรื่องเกี่ยวกับความปลอดภัยของผลิตภัณฑ์และข้อมูลของเรา คุณสามารถติดต่อเราได้ที่ security@andsolutions.net.

อัพเดทล่าสุด: เมษายน 2024

และโซลูชั่น มุ่งมั่นที่จะสร้างความมั่นใจในความปลอดภัยของผู้ใช้โดยการปกป้องข้อมูลของพวกเขานโยบายนี้มีวัตถุประสงค์เพื่อให้นักวิจัยด้านความปลอดภัยแนวทางที่ชัดเจนสำหรับการดำเนินกิจกรรมการค้นพบช่องโหว่และเพื่อถ่ายทอดความชอบของเราในการส่งช่องโหว่ที่ค้นพบมาให้เรา

นโยบายนี้อธิบายถึงระบบและประเภทของการวิจัยที่ครอบคลุมภายใต้นโยบายนี้ วิธีการส่งรายงานช่องโหว่ให้เรา และเราคาดหวังว่านักวิจัยด้านความปลอดภัยจะรอนานแค่ไหนก่อนเปิดเผยช่องโหว่ต่อสาธารณะเราขอแนะนำให้คุณติดต่อเราเพื่อรายงานช่องโหว่ที่อาจเกิดขึ้นในระบบของเรา

การอนุญาต

หากคุณพยายามอย่างสุจริตในการปฏิบัติตามนโยบายนี้ในระหว่างการวิจัยด้านความปลอดภัยของคุณ เราจะพิจารณาว่าการวิจัยของคุณได้รับการอนุมัติเราจะทำงานร่วมกับคุณเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว และ AND Solutions จะไม่ดำเนินการตามกฎหมายที่เกี่ยวข้องกับการวิจัยของคุณ

แนวทาง

ภายใต้นโยบายนี้ “การวิจัย” หมายถึงกิจกรรมที่คุณ:

  1. แจ้งให้เราทราบโดยเร็วที่สุดหลังจากที่คุณพบปัญหาด้านความปลอดภัยที่แท้จริงหรืออาจเกิดขึ้น

  2. พยายามอย่างเต็มที่เพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การเสื่อมสภาพประสบการณ์ของผู้ใช้ การหยุดชะงักในระบบการผลิต และการทำลายหรือจัดการข้อมูล

  3. ใช้ประโยชน์ในขอบเขตที่จำเป็นเพื่อยืนยันการปรากฏตัวของช่องโหว่เท่านั้นห้ามใช้EXPLOIT เพื่อประนีประนอมหรือแยกข้อมูล สร้างการเข้าถึงบรรทัดคำสั่งแบบถาวร หรือใช้EXPLOIT เพื่อหมุนไปยังระบบอื่น

  4. ให้เวลาที่เหมาะสมแก่เราในการแก้ไขปัญหาก่อนที่คุณจะเปิดเผยต่อสาธารณะ

  5. อย่าส่งรายงานที่มีคุณภาพต่ำในปริมาณมาก

เมื่อคุณพบว่ามีช่องโหว่หรือพบข้อมูลที่ละเอียดอ่อน (รวมถึงข้อมูลที่ระบุตัวตนส่วนบุคคล ข้อมูลทางการเงิน หรือข้อมูลที่เป็นกรรมสิทธิ์หรือความลับทางการค้าของบุคคลใดฝ่ายใดๆ) คุณต้องหยุดการทดสอบ แจ้งให้เราทราบ และไม่เปิดเผยข้อมูลนี้ให้กับผู้อื่น

วิธีการทดสอบ

วิธีการทดสอบต่อไปนี้ไม่ได้รับอนุญาต:

  1. การทดสอบการปฏิเสธการให้บริการเครือข่าย (DoS หรือ DDoS) หรือการทดสอบอื่น ๆ ที่ทำให้การเข้าถึงระบบหรือข้อมูลเสียหายหรือทำให้เกิดความเสียหาย

  2. การทดสอบทางกายภาพ (เช่น การเข้าถึงสำนักงาน, ประตูเปิดประตู, การติดตั้งท้าย), วิศวกรรมสังคม (เช่น ฟิชชิ่ง, วิชิง) หรือการทดสอบช่องโหว่ที่ไม่ใช่ทางเทคนิคอื่น ๆ

ขอบเขต

นโยบายนี้ใช้กับระบบและบริการต่อไปนี้:

  1. บริการที่โฮสต์บน *.และโซลูชั่นs.net

  2. บริการที่โฮสต์บน *.แอนด์ ซิสเท็มส์ เทค

  3. บริการที่โฮสต์บน *.และ. ทั่วโลก

  4. บริการที่โฮสต์บน *.นิโคสคอริง.ไอ

  5. บริการที่โฮสต์บน *.looms.cloud

  6. บริการที่โฮสต์บน *.มินด็อกซ์ ไอ

บริการใด ๆ ที่ไม่ได้ระบุไว้ข้างต้นอย่างชัดเจน เช่น บริการที่เชื่อมต่อใด ๆ จะไม่รวมอยู่ในขอบเขตและไม่ได้รับอนุญาตสำหรับการทดสอบนอกจากนี้ ช่องโหว่ที่พบในระบบจากผู้ขายของเราจะอยู่นอกขอบเขตของนโยบายนี้ และควรรายงานโดยตรงต่อผู้ขายตามนโยบายการเปิดเผยข้อมูล (ถ้ามี)หากคุณไม่แน่ใจว่าระบบอยู่ในขอบเขตหรือไม่ โปรดติดต่อเราได้ที่ security@andsolutions.net ก่อนเริ่มการวิจัย

แม้ว่าเราจะพัฒนาและบำรุงรักษาระบบหรือบริการอื่น ๆ ที่เข้าถึงอินเทอร์เน็ตได้ แต่เราขอให้ดำเนินการวิจัยและทดสอบอย่างกระตือรือร้นในระบบและบริการที่ครอบคลุมในขอบเขตของเอกสารนี้เท่านั้นหากมีระบบเฉพาะที่ไม่อยู่ในขอบเขตที่คุณคิดว่ามีคุณค่าการทดสอบโปรดติดต่อเราเพื่อหารือก่อนเราจะเพิ่มขอบเขตของนโยบายนี้เมื่อเวลาผ่านไป

การรายงานช่องโหว่

ข้อมูลที่ส่งภายใต้นโยบายนี้จะใช้เพื่อวัตถุประสงค์ในการป้องกันเท่านั้น เพื่อบรรเทาหรือแก้ไขช่องโหว่หากการค้นพบของคุณรวมถึงช่องโหว่ที่ค้นพบใหม่ซึ่งส่งผลกระทบต่อผู้ใช้ทุกคนของผลิตภัณฑ์หรือบริการและไม่ใช่โซลูชันเท่านั้น เราอาจแบ่งปันรายงานของคุณกับหน่วยงานที่เกี่ยวข้อง เช่น ทีมตอบสนองต่อเหตุการณ์ทางไซเบอร์ระดับประเทศ สำหรับกระบวนการเปิดเผยช่องโหว่ที่ประสานงานกันเราจะไม่แบ่งปันชื่อหรือข้อมูลการติดต่อของคุณโดยไม่ได้รับอนุญาตอย่างชัดเจน

เรายอมรับรายงานช่องโหว่ผ่าน security@andsolutions.net.รายงานอาจส่งโดยไม่ระบุชื่อหากคุณแบ่งปันข้อมูลการติดต่อ เราจะรับรองการรับรายงานของคุณภายใน 5 วันทำการ

การส่งช่องโหว่คุณรับทราบว่าคุณไม่มีความคาดหวังในการชำระเงิน และคุณสละสิทธิ์การเรียกร้องค่าธรรมเนียมในอนาคตต่อ AND Solutions ที่เกี่ยวข้องกับการส่งของคุณอย่างชัดเจน

สิ่งที่เราอยากเห็นจากคุณ

เพื่อช่วยให้เราจัดลำดับและจัดลำดับความสำคัญของการส่งข้อมูล เราขอแนะนำให้รายงานของคุณ:

  1. อธิบายตำแหน่งที่พบช่องโหว่และผลกระทบที่อาจเกิดขึ้นจากการแสวงหาผลประโยชน์

  2. ให้คำอธิบายโดยละเอียดเกี่ยวกับขั้นตอนที่จำเป็นในการทำซ้ำช่องโหว่ (หลักฐานของสคริปต์แนวคิดหรือภาพหน้าจอมีประโยชน์)

  3. เป็นภาษาอังกฤษถ้าเป็นไปได้

คำถาม

คำถามเกี่ยวกับนโยบายนี้อาจส่งได้ที่ security@andsolutions.net.