CHÍNH SÁCH TIẾP NHẬN BÁO CÁO LỖ HỔNG VÀ ĐIỂM YẾU CỦA PHẦN MỀM LINKSAFE HOME VÀ LINKSAFE AGENT

Công ty Cổ phần Công nghệ mạng Lancs Việt Nam (tên viết tắt Lancs Net., JSC) công bố Chính sách tiếp nhận báo cáo lỗ hổng và điểm yéu của sản phẩm phần mềm này nhằm cải thiện chất lượng sản phẩm/ dịch vụ và nâng cao trải nghiệm người dùng thông qua việc lắng nghe ý kiến và phản hồi của các khách hàng của mình.

Chúng tôi cam kết sẽ bảo mật các thông tin cá nhân của khách hàng, đồng thời sẽ nỗ lực hết sức và sử dụng các biện pháp thích hợp để các thông tin mà khách hàng cung cấp cho chúng tôi trong quá trình sử dụng sản phẩm/ dịch vụ do chúng tôi cung cấp được xử lý nhanh chóng, hiệu quả theo đúng quy định pháp luật.

 

ĐIỀU 1. MỤC ĐÍCH VÀ PHẠM VI

1. Mục đích:

• Tạo ra một quy trình cụ thể và cấu trúc để người dùng hoặc nhóm người dùng báo cáo về các lỗ hổng bảo mật mà họ phát hiện trong hệ thống, ứng dụng hoặc dịch vụ của Công ty Lancs Net., JSC.
• Tạo ra một kênh thông tin an toàn và tin cậy cho người dùng hoặc nhóm nghiên cứu bảo mật để báo cáo về các lỗ hổng mà họ phát hiện được. Thay vì tìm cách tận dụng lỗ hổng đó để gây hại, khách hàng/người dùng có thể thông báo cho Công ty Lancs Net., JSC để có thể khắc phục và bảo vệ trước khi lỗ hổng đó được sử dụng bởi kẻ tấn công.

2. Phạm vi:

Áp dụng cho tất cả các hệ thống, ứng dụng và dịch vụ thuộc quản lý hoặc sở hữu của CÔNG TY CỔ PHẦN CÔNG NGHỆ MẠNG LANCS VIỆT NAM ( LANCS NET., JSC)

3. Định nghĩa và phân loại:

• Định nghĩa:

Lỗ hổng là những điểm yếu hoặc thiếu sót trong hệ thống, phần mềm, hoặc thiết bị mạng có thể bị khai thác bởi các đối tượng tấn công (hacker, phần mềm độc hại) để gây tổn hại cho hệ thống, xâm phạm dữ liệu cá nhân, hoặc làm gián đoạn hoạt động của hệ thống. Lỗ hổng có thể xuất hiện từ lỗi lập trình, cấu hình sai, hay những yếu tố liên quan đến yếu tố con người.

Theo mức độ nghiêm trọng

• Lỗ hổng nghiêm trọng: Là các lỗ hổng có khả năng gây ra tổn thất lớn về tài chính, dữ liệu, hoặc làm gián đoạn hoạt động kinh doanh. Các lỗ hổng này có thể bị khai thác từ xa và không cần sự tương tác của người dùng.
• Lỗ hổng trung bình: Có khả năng gây ảnh hưởng đáng kể nhưng không trực tiếp hoặc dễ khai thác. Cần phải có một số điều kiện nhất định để lỗ hổng này được kích hoạt.
• Lỗ hổng thấp: Ảnh hưởng ít đến hệ thống hoặc cần có những điều kiện phức tạp để khai thác. Các lỗ hổng này có thể gây khó khăn nhưng không ảnh hưởng nghiêm trọng đến bảo mật tổng thể.

Tiềm năng ảnh hưởng

• Ảnh hưởng đến tính bảo mật của dữ liệu: Lỗ hổng có thể gây ra sự mất mát hoặc rò rỉ dữ liệu nhạy cảm, bao gồm thông tin cá nhân, dữ liệu tài chính, hoặc dữ liệu mật của tổ chức.
• Ảnh hưởng đến tính toàn vẹn của hệ thống: Lỗ hổng có thể bị khai thác để thay đổi dữ liệu hoặc cài đặt phần mềm độc hại, từ đó gây hại đến hệ thống.
• Ảnh hưởng đến tính sẵn sàng của hệ thống: Các lỗ hổng làm gián đoạn dịch vụ, ngừng hoạt động hoặc giảm hiệu suất hệ thống.
• Ảnh hưởng đến uy tín doanh nghiệp: Lỗ hổng có thể gây thiệt hại đến danh tiếng của tổ chức nếu bị khai thác hoặc công bố công khai.

 

ĐIỀU 2. QUY TRÌNH BÁO CÁO

1. Kênh báo cáo

Khách hàng/ Người dùng có thể báo cáo qua Email liên hệ của Lancs Net., JSC/ hoặc các cơ chế liên lạc khác như: gọi điện thoại đến Hotline hoặc qua Chat Zalo OA với Hotline: 0868275959.

Khách hàng cũng có thể gửi email khiếu nại qua info@lancsnet.com.

2. Yêu cầu thông tin cần thiết

Khách hàng cần cung cấp các thông tin sau đây khi gửi báo cáo lỗ hổng:

• Mô tả chi tiết về lỗ hổng: Mô tả cụ thể về lỗ hổng bao gồm các chi tiết kỹ thuật và chức năng của lỗ hổng.
• Cách thức khai thác: Mô tả cách mà lỗ hổng có thể được khai thác, bao gồm các bước cụ thể hoặc mã độc có thể được sử dụng.
• Tác động tiềm năng (nếu được): Đánh giá về tác động tiềm năng của lỗ hổng, bao gồm các hậu quả về bảo mật và khả năng ảnh hưởng đến hoạt động của Lancs Net., JSC.

3. Bảo mật thông tin

Thông tin về lỗ hổng được gửi và xử lý một cách an toàn và bảo mật, đảm bảo rằng thông tin này chỉ được tiết lộ cho những người cần thiết để khắc phục lỗ hổng.

4. Xác nhận và phản hồi

Công ty Lancs Net., JSC có quy trình để xác nhận và phản hồi lại người báo cáo sau khi khách hàng gửi báo cáo, bao gồm việc cung cấp một biên bản hoặc số theo dõi để người báo cáo có thể theo dõi tiến trình của báo cáo của khách hàng.

ĐIỀU 3. CAM KẾT CỦA CÔNG TY LANCS NET., JSC

Cam kết xác nhận đã nhận được báo cáo trong vòng 2 ngày làm việc:

Công ty Lancs Net., JSC sẽ xem xét và xác nhận báo cáo lỗ hổng từ phía người báo cáo trong vòng 48 giờ sau khi báo cáo được gửi đi.

Cam kết không thực hiện hành động pháp lý chống lại người báo cáo lỗ hổng nếu họ tuân thủ chính sách tiếp nhận báo cáo lỗ hổng và điểm yếu:

Người báo cáo lỗ hổng sẽ không bị truy cứu trách nhiệm pháp lý hoặc bị hành động pháp lý nếu họ tuân thủ chính sách của Công ty Lancs Net., JSC. Điều này giúp tạo ra một môi trường an toàn và động viên cho người báo cáo lỗ hổng, đồng thời khuyến khích họ chia sẻ thông tin về lỗ hổng một cách mở cửa và trung thực.

ĐIỀU 4. QUY TRÌNH XỬ LÝ BÁO CÁO

Xác minh:

Lancs Net., JSC sẽ xác minh tính chính xác của thông tin báo cáo, bao gồm việc kiểm tra lỗ hổng được báo cáo có thực sự tồn tại và có thể được khai thác hay không.

Đánh giá:

Lỗ hổng sẽ được đánh giá để xác định mức độ nghiêm trọng và tác động của nó đối với hệ thống, ứng dụng hoặc dịch vụ. Đánh giá này có thể bao gồm việc xác định khả năng khai thác của lỗ hổng, tiềm năng ảnh hưởng đến dữ liệu hoặc hệ thống, và mức độ ưu tiên của việc khắc phục.

Khắc phục:

Sau khi đánh giá, Công ty Lancs Net., JSC sẽ thực hiện các biện pháp để khắc phục lỗ hổng. Điều này có thể bao gồm việc phát triển và triển khai các bản vá, cấu hình lại hệ thống, hoặc triển khai các biện pháp bảo mật phụ trợ.

Thời gian ước tính để giải quyết:

Công ty Lancs Net., JSC thường cung cấp một thời gian ước tính để giải quyết lỗ hổng cho người báo cáo. Thời gian này có thể phụ thuộc vào mức độ nghiêm trọng của lỗ hổng và tài nguyên có sẵn để triển khai các biện pháp khắc phục.

ĐIỀU 5. PHẢN HỒI VÀ LIÊN LẠC

Phản hồi về trạng thái và kết quả xử lý lỗ hổng:

Công ty Lancs Net., JSC cung cấp thông tin phản hồi cho người báo cáo về trạng thái và kết quả của việc xử lý lỗ hổng mà họ báo cáo. Điều này bao gồm việc thông báo cho người báo cáo khi lỗ hổng đã được xác nhận, tiến trình của quá trình khắc phục, và thông tin về bản vá hoặc biện pháp an ninh đã được triển khai.

Kênh liên lạc để trao đổi thông tin thêm:

Người báo cáo có một kênh liên lạc để trao đổi thông tin thêm nếu cần. Điều này có thể là một địa chỉ email hoặc một hệ thống theo dõi lỗ hổng trực tuyến mà họ có thể sử dụng để gửi thêm thông tin, hỏi thêm câu hỏi hoặc cập nhật về trạng thái của lỗ hổng.

ĐIỀU 6. BẢO MẬT VÀ QUYỀN RIÊNG TƯ

Cam kết bảo mật thông tin cá nhân và chi tiết báo cáo của người báo cáo:

Công ty Lancs Net., JSC cam kết bảo vệ thông tin cá nhân và chi tiết báo cáo của người báo cáo. Điều này có thể bao gồm việc chỉ tiết lộ thông tin cần thiết cho những người cần biết để xử lý lỗ hổng và bảo mật thông tin còn lại.

Đảm bảo quá trình xử lý lỗ hổng diễn ra kín đáo và an toàn:

Công ty Lancs Net., JSC cũng đảm bảo rằng quá trình xử lý lỗ hổng sẽ diễn ra một cách kín đáo và an toàn, không tiết lộ thông tin về lỗ hổng cho bất kỳ bên thứ ba nào không có quyền truy cập.

ĐIỀU 7. CHÍNH SÁCH KHEN THƯỞNG

Công ty Lancs Net., JSC có chính sách khen thưởng cho người báo cáo theo chính sách của Công ty và tùy thuộc vào hoàn cảnh cụ thể của vụ việc.

ĐIỀU 8. CÔNG BỐ CHÍNH SÁCH

Đăng tải trên trang web:

• Chính sách nên được đăng tải trên trang web của Công ty Lancs Net., JSC.
• Link gửi Mail hoặc nút tìm kiếm cách thức báo cáo sẽ được đặt ở vị trí dễ tiếp cận để người dùng có thể truy cập thông tin một cách nhanh chóng.

Thông báo cho các bên liên quan:

• Công ty Lancs Net., JSC sẽ gửi thông báo về chính sách tiếp nhận báo cáo về lỗ hổng/ điểm yếu đến các đối tác, khách hàng và cộng đồng bảo mật.
• Thông báo nên được gửi qua các kênh như: email, thông báo trên các diễn đàn bảo mật hoặc thông qua các kênh truyền thông mạng xã hội phù hợp.

Nội dung công bố:

• Thông tin trong công bố nên bao gồm mục đích và phạm vi của chính sách tiếp nhận báo cáo về lỗ hổng/ điểm yếu, cách thức tiếp nhận báo cáo và cam kết của Công ty Lancs Net., JSC đối với bảo mật thông tin và quyền riêng tư.
• Cần cung cấp một cái nhìn tổng quan và dễ hiểu về cách Công ty Lancs Net., JSC xử lý các báo cáo lỗ hổng và cách người dùng có thể liên lạc.

ĐIỀU 9. THIẾT LẬP CÁC KÊNH BÁO CÁO

Email chuyên dụng:

• Công ty Lancs Net., JSC có một địa chỉ email chuyên dụng hoặc hộp thư đến dành riêng cho việc nhận báo cáo lỗ hổng/điểm yếu.
• Địa chỉ email này được công bố rộng rãi và dễ dàng tiếp cận cho cộng đồng bảo mật và người dùng.

Hệ thống theo dõi lỗ hổng trực tuyến:

• Công ty Lancs Retails và Công ty mẹ là Lancs Networks có một hệ thống theo dõi lỗ hổng trực tuyến, cho phép người dùng gửi báo cáo lỗ hổng và theo dõi tiến trình xử lý một cách dễ dàng.
• Các kênh tiếp nhận thông tin đơn giản và thân thiện với người dùng, cho phép họ gửi thông tin chi tiết về lỗ hổng một cách thuận tiện.

Giám sát liên tục:

• Đảm bảo rằng các kênh báo cáo được giám sát liên tục, đặc biệt là trong các ngày làm việc.
• Quy trình để xử lý báo cáo một cách nhanh chóng và hiệu quả, bao gồm xác minh, đánh giá và khắc phục lỗ hổng.

Cập Nhật Thông Tin:

Cung cấp thông tin cập nhật về tiến trình xử lý lỗ hổng cho người báo cáo, bao gồm thông tin về trạng thái của báo cáo và các biện pháp khắc phục đã được triển khai.

Phản Hồi Tới Người Báo Cáo:

Cung cấp phản hồi cho người báo cáo sau khi họ gửi báo cáo lỗ hổng, bao gồm xác nhận nhận được và thông tin về tiến trình xử lý.