Chúng tôi khuyến khích người dùng, đối tác, nhà cung cấp, tổ chức bảo mật và các nhà nghiên cứu độc lập tích cực báo cáo cho KBVISION – Kabevision PSIRT qua email về bất kỳ rủi ro hoặc lỗ hổng bảo mật nào liên quan đến sản phẩm và giải pháp của hãng.

Trong vòng 2 ngày làm việc sau khi nhận được báo cáo, KBVISION – Kabevision PSIRT sẽ xác nhận việc nhận báo cáo lỗ hổng và bắt đầu đánh giá vấn đề:

• Các lỗ hổng bảo mật nghiêm trọng và mức độ cao được khắc phục trong vòng 48 giờ.
• Các lỗ hổng bảo mật mức độ trung bình được khắc phục trong vòng 3 ngày làm việc.
• Các lỗ hổng bảo mật mức độ thấp được khắc phục trong vòng 7 ngày làm việc.

Đối với các vấn đề phức tạp, chúng tôi sẽ thông báo tiến độ xử lý thường xuyên cho người báo cáo.

Nội dung email báo cáo nên bao gồm:

• Mô tả các rủi ro/lỗ hổng bảo mật tiềm ẩn.
• Chi tiết kỹ thuật (cấu hình hệ thống, phương pháp định vị, ảnh chụp màn hình, mã khai thác POC, các bước tái tạo sự cố, v.v.).
• Tên sản phẩm, kiểu máy (model) và phiên bản phần mềm/firmware có chứa lỗ hổng.
• Kế hoạch công bố lỗ hổng bảo mật (nếu có).

Email tiếp nhận báo cáo: [email protected]

KBVISION – Kabevision PSIRT sẽ kiểm soát chặt chẽ phạm vi thông tin lỗ hổng và chỉ giới hạn cho những nhân sự chịu trách nhiệm xử lý trực tiếp. Đồng thời, người báo cáo cũng được yêu cầu giữ bí mật thông tin này cho đến khi nó được công ty công bố công khai.

KBVISION – Kabevision PSIRT công bố lỗ hổng bảo mật dưới hai hình thức:

1. SA (Security Advisory – Cảnh báo bảo mật): Được sử dụng để công bố thông tin về lỗ hổng bảo mật liên quan đến sản phẩm và giải pháp của KBVISION, bao gồm mô tả lỗ hổng, các bản vá lỗi, v.v.
2. SN (Security Notice – Thông báo bảo mật): Được sử dụng để phản hồi các chủ đề bảo mật liên quan đến sản phẩm và giải pháp, bao gồm các lỗ hổng và sự cố bảo mật hiện hành.

KBVISION – Kabevision PSIRT áp dụng tiêu chuẩn bảo mật CVSSv3 và đưa ra Điểm cơ sở (Base Score) cũng như Điểm thời gian (Temporal Score) cho mỗi đánh giá mức độ nghiêm trọng của lỗ hổng bảo mật.