1. Wprowadzenie

Ważnym celem zespołu Western Digital PSIRT (Product Security Incident Response Team – zespół ds. incydentów związanych z bezpieczeństwem produktów) jest ochrona bezpieczeństwa użytkowników końcowych produktów Western Digital. Polityka Western Digital informowania o podatnościach ma zachęcać specjalistów ds. bezpieczeństwa oraz opinię publiczną do podejmowania działań w dobrej wierze, angażowania się w odpowiedzialne badania nad podatnościami oraz udzielania informacji w tym zakresie. W przypadku wykrycia podatności, ujawnienia danych lub innych problemów z bezpieczeństwem prosimy o kontakt z nami. Niniejsza polityka określa czynności związane ze zgłaszaniem nam podatności, zawiera definicję działania w dobrej wierze stosowaną przez Western Digital w odniesieniu do odkrywania i zgłaszania potencjalnych podatności oraz wyjaśnia, czego specjaliści mogą w zamian oczekiwać od Western Digital.

2. Definicje

1. Okres zachowania poufności: Po przyjęciu raportu na temat podatności naszym celem jest zakończenie prac naprawczych i publikacja poprawki w ciągu 90 dni od uzyskania informacji o powstaniu błędu. W razie konieczności uzyskania dodatkowych informacji w celu potwierdzenia podatności skontaktujemy się z osobą, która przesłała zgłoszenie. Jeśli 3 próby nawiązania kontaktu pozostaną bez odpowiedzi, możemy zamknąć daną sprawę, jednak nie wpłynie to na sposób traktowania kolejnych informacji przesłanych przez tę samą osobę.
2. Biuletyny bezpieczeństwa: Nasze biuletyny bezpieczeństwa są publikowane tutaj:
   https://www.westerndigital.com/support/productsecurity
3. Ty / osoba zgłaszająca podatność: osoba, organizacja lub grupa przekazująca raport o podatności.
4. My: Na potrzeby niniejszej polityki słowo "my" oznacza całość firmy Western Digital łącznie z jej markami, m.in.: Western Digital, WD, SanDisk, SanDisk Professional, HGST oraz G-Technology.
5. Oficjalny kanał do zgłaszania: kanał do komunikacji dotyczącej podatności: PSIRT@wdc.com.
6. Wstępne zatwierdzenie: To data naszej odpowiedzi po otrzymaniu raportu przesłanego zespołowi PSIRT, z uwzględnieniem numeru sprawy i 90-dniowego okresu zachowania poufności.

3. Instrukcje dotyczące zgłaszania podatności

Aby zgłosić znaleziony potencjalny problem z zabezpieczeniami produktu lub usługi Western Digital, należy wysłać wiadomość e-mail ze szczegółowym opisem znalezionej podatności za pośrednictwem naszego oficjalnego kanału do zgłaszania. Wysłanie wiadomości na jakikolwiek inny adres e-mail może skutkować wydłużeniem czasu reakcji.
W miarę możliwości należy zawrzeć następujące informacje:

• informacje o konkretnych produktach lub usługach, których dotyczy podatność, wraz z wszelkimi istotnymi numerami wersji,
• informacje o wpływie problemu,
• wszelkie informacje mogące pomóc w odtworzeniu lub zdiagnozowaniu problemu, w tym kod Proof of Concept (PoC), o ile jest dostępny,
• informacje o tym, czy zdaniem zgłaszającego dana podatność jest już znana opinii publicznej lub stronom trzecim. Przed wysłaniem informacji prosimy zaszyfrować je za pomocą naszego klucza PGP/GPG.

Przed wysłaniem informacji prosimy zaszyfrować je za pomocą naszego klucza PGP/GPG.

4. Skoordynowane ujawnianie podatności dotyczących kilku podmiotów

Przestrzegamy wytycznych i praktyk FIRST w zakresie skoordynowanego ujawniania podatności dotyczących kilku podmiotów. Specjaliści, którzy chcą zgłosić podatność dotyczącą kilku podmiotów, ale potrzebują pomocy w realizacji tego procesu lub koordynowaniu kilku podmiotów, mogą zgłosić się do nas. W przypadku potwierdzenia podatności możemy zaproponować pomoc lub przejąć rolę koordynatora.

5. Zakres produktów i usług

Wszystkie produkty znajdujące się obecnie w fazie aktualizacji standardowych lub ograniczonych, w tym serie produktów wymienione poniżej. Zachęcamy też do zgłaszania podatności dotyczących naszych witryn internetowych i usług w chmurze. Żadne produkty i usługi w fazie końca cyklu życia nie są objęte niniejszą polityką informowania o podatnościach. Oto lista produktów, które aktualnie są objęte polityką:

• Sieciowe magazyny danych: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless i iXpand
• Profesjonalne magazyny danych: G-DRIVE, G-RAID
• WD BLACK
• Dyski zewnętrzne: My Book, My Passport, WD EasyStore i WD Elements
• Dyski wewnętrzne, SSD i wbudowana pamięć flash
• Zastosowania stacjonarne i mobilne: EdgeRover i SanDisk Memory Zone
• Napędy USB flash
• Dyski przenośne 
• Karty pamięci

Poniżej znajduje się więcej informacji na temat cyklu życia i wsparcia naszych produktów:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Produkty WD: https://www.westerndigital.com/pl-pl/support/software/software-life-cycle-policy

6. Nasze zobowiązania

Zasady współpracy z nami w ramach niniejszej polityki:

• Obecnie nie prowadzimy żadnego programu bug bounty ani nie uczestniczymy w takim programie. Nie honorujemy wniosków o zapłatę za znalezienie podatności, materiały promocyjne lub uznania poza naszym procesem publikacji w biuletynie bezpieczeństwa.
• Wstępne zatwierdzenie zgłoszenia podatności nastąpi w ciągu 3 dni roboczych od jego otrzymania. Wtedy też prześlemy numer umożliwiający śledzenie sprawy.
• W ciągu 30 dni od wstępnego zatwierdzenia wyślemy potwierdzenie podatności i podamy proponowany termin opracowania rozwiązania. W razie odrzucenia zgłoszenia opiszemy przyczyny takiego działania, ale pozostaniemy otwarci na nowe informacje w danej sprawie.
• Po potwierdzeniu zgłoszonej podatności nasi inżynierowie rozpoczną prace nad odpowiednimi poprawkami.
• Usunięcie niektórych podatności w terminie 90 dni jest niemożliwe. Jeśli będzie to wymagało więcej czasu niż wynosi standardowy okres zachowania poufności, wspólnie z osobą zgłaszającą wydłużymy okres zachowania poufności lub wypracujemy inne rozwiązanie. Rozwiązanie może zależeć od:
  
  • dostawców na wcześniejszych etapach łańcucha dostaw, których czas reakcji może różnić się od naszego,
  • zakresu zmian w architekturze wymaganych do usunięcia podatności,
  • złożonych lub obszernych wymagań dotyczących kontroli wynikających ze zmian na niskim poziomie oprogramowania układowego, np. w przypadku podatności oprogramowania układowego dysków twardych lub dysków SSD.
• Biuletyny bezpieczeństwa publikujemy wedle własnego uznania, w celu udostępnienia naszym klientom i opinii publicznej informacji dotyczących bezpieczeństwa. Informacje o osobach zgłaszających podatności opublikujemy w odpowiednim biuletynie bezpieczeństwa i CVE, o ile:
  • zgłoszona podatność dotyczy aktualnie wspieranego produktu Western Digital,
  • w związku z problemem wprowadziliśmy zmiany w kodzie lub konfiguracji,
  • dana osoba zgłosiła konkretną podatność jako pierwsza,
  • osoba zgłaszająca prowadziła badania w sposób zgodny z niniejszą polityką,
  • osoba zgłaszająca wyraża zgodę na taką publikację.

7. Nasze oczekiwania

Od osób, które w dobrej wierze uczestniczą w naszym programie informowania o podatnościach, oczekujemy:

• Przestrzegania zasad, w tym niniejszej polityki i wszelkich innych obowiązujących umów. W razie niespójności między niniejszą polityką a jakimikolwiek innymi obowiązującymi zasadami, zapisy niniejszej polityki mają znaczenie priorytetowe.
• Niezwłocznego zgłaszania wszelkich wykrytych podatności.
• Podejmowania wszelkich starań w celu zapobiegnięcia naruszenia prywatności, pogorszenia wrażeń użytkownika, zakłócenia systemów produkcyjnych i zniszczenia danych w trakcie testów zabezpieczeń. W szczególności:
  
  • Unikać potencjalnego lub rzeczywistego wyrządzania szkód użytkownikom naszych produktów i usług, systemom lub zastosowaniom, w tym poprzez testy zakłócające prawidłowe działanie, np. ataki typu DoS (Denial of Service).
  • Nie wykorzystywać podatności w celu uzyskania nieuprawnionego dostępu do danych lub uszkodzenia danych.
  • Nie prowadzić ataków, których celem jest nasz personel, mienie, centra danych, partnerzy i podmioty zależne.
  • Nie podejmować prób stosowania inżynierii społecznej ani w żaden inny sposób nie wprowadzać naszych pracowników, wykonawców lub podmiotów zależnych w błąd co do swoich powiązań i uprawnień w celu uzyskania dostępu do zasobów.
    
  • Nie naruszać żadnych praw ani umów w celu wykrycia podatności.
    
• Podejmowania badań wyłącznie w odniesieniu do produktów wymienionych powyżej w punkcie Zakres produktów i usług.
• Zgłaszania nam podatności dotyczących bezpieczeństwa wyłącznie w sposób zgodny z naszą procedurą zgłaszania podatności.
  
• Zachowania poufności wszelkich zdobytych informacji dotyczących odkrytych podatności do czasu rozwiązania problemu i publikacji biuletynu bezpieczeństwa. Nieujawniania informacji poza okresem zachowania poufności.
• Jeśli podatność zapewnia nieuprawniony dostęp do danych:
  
  • ograniczenia swojego dostępu do danych do minimum wymaganego, aby skutecznie przedstawić kod Proof of Concept, oraz
  • przerwania testów i natychmiastowego przesłania zgłoszenia w razie natrafienia w trakcie testów na jakiekolwiek dane osobowe, takie jak dane umożliwiające identyfikację, dane dotyczące opieki zdrowotnej, dane kart kredytowych i dane zastrzeżone.
• Wchodzenia w interakcję wyłącznie z własnymi kontami testowymi lub kontami, których właściciel jednoznacznie wyraził na to zgodę.

8. Informacje prawne

Co pewien czas możemy aktualizować politykę informowania o podatnościach. Przed przesłaniem zgłoszenia o podatności należy zapoznać się z niniejszą polityką. Proces przekazywania danych podlega wersji niniejszej polityki obowiązującej w momencie wstępnego zatwierdzenia.

9. Historia zmian

Publikacja: 15-10-2021
Wersja: 1.1

10. Odnośniki

Niniejsza polityka jest oparta na wytycznych zawartych w dokumentach ISO 29147 i 30111.
Dziękujemy disclose.io za ogólny zarys i tekst udostępniony na mocy licencji Creative Commons CC-0, ponieważ były one bardzo przydatne podczas prac nad niniejszą polityką informowania o podatnościach.