/Kistler 그룹 취약성 정보 공개 정책

Kistler 그룹 취약성 정보 공개 정책

Kistler Group은 보안 관련 담당자들과 일반 대중들의 피드백을 환영하며 피드백을 통해 보안을 개선해 나가고 있습니다. 키슬러의 정보 자산들 가운데 취약성, 개인 정보 보호 문제, 노출된 데이터 또는 기타 보안 문제를 발견했다고 판단하시는 경우 귀하의 의견을 듣고 싶습니다. 해당 정책은 취약점 보고를 위한 단계, 키슬러가 발전함으로써 기대하는 것, 여러분이 우리에게 기대할 수 있는 것을 정리한 것입니다.

적용 대상 시스템 

해당 정책은 아래와 같이 적용됩니다

  • 키슬러 그룹의 모든 제품
  • 키슬러 그룹의 모든 인터넷 대면 시스템
     
  • 보안 기능의 순수한 부재를 보안 취약점으로 간주하지는 않습니다.
  • HTTP 헤더 누락, TLS 구성, Cookie flags, Clickjacking 등 자동화된 스캐너에서 일반적으로 생성되는 결과에는 해당이 되지 않습니다. 단, 의미 있는 PoC 공격을 만드는 데 사용할 수 있는 경우는 제외합니다.

적용 범위를 벗어난 항목

  • 서비스 거부 공격
  • 사회공학
  • 피싱
  • Kistler 시설 또는 Kistler 파트너의 시설에 대한 물리적 접근
  • 이 정책에 참여하는 당사자가 소유하지 않은 자산 또는 기타 장비

범위를 벗어난 시스템에서 발견되거나 의심되는 취약성은 해당 공급업체 또는 해당 기관에 보고되어야 합니다.

특별 적용 범위 항목

  • www.kistler.com : 메인 웹사이트, RCE(Remote Code Execution)와 같은 중요한 취약성에만 특별히 신고대상으로 적용이 됩니다

키슬러의 약속

보안 정책을 기반으로, 키슬러는 다음과 같이 약속드립니다.

  • 신고 받은 사항에 신속하게 응답하고, 신고내용을 이해하고 검증하기 위해 협력합니다
  • 취약성이 처리되는 동안 진행상황 및 정보들을 지속적으로 제공하도록 노력합니다
  • 발견된 취약점을 당사의 운영 조건 내에서 적시에 해결하기 위한 작업할 것을 약속합니다
  • 해당 정책과 관련된 취약성 조사를 위해 Safe Harbor를 확장합니다

키슬러의 기대치

키슬러의 취약점 공개 프로그램에 성실히 참여해 주시기를 부탁드리며, 다음과 같은 사항을 준수하여 주시기 바랍니다

  • 본 정책 및 기타 관련 계약을 준수하는 동안 본 정책과 다른 적용 조건 사이에 불일치가 있는 경우 본 정책의 조건이 우선합니다
  • 발견된 취약점을 즉시 보고해 주시기 바랍니다
  • 타인의 프라이버시를 침해하거나, 시스템을 파괴하거나, 데이터를 파괴하거나, 사용자 경험을 해치는 사고들을 방지합니다
  • 공식 채널로만 취약점 정보를 키슬러와 논의 가능합니다
  • 범위 내 시스템에 대해서만 테스트를 수행하고 범위를 벗어난 시스템과 활동을 존중합니다
  • 취약성이 데이터에 의도하지 않은 액세스를 제공하는 경우: 개념 증명을 효과적으로 입증하기 위해 필요한 최소한의 데이터로 액세스하는 양을 제한하고, 테스트 중에 개인 식별 정보(PII), 개인 건강 관리 정보(PHI), 신용 카드 데이터 또는 소유 정보와 같은 민감한 사용자 데이터가 발견되면 테스트를 중단하고 즉시 보고서를 제출합니다
  • 귀하가 소유하고 있는 테스트 계정이나 계정 소유자의 명시적인 허가를 받아야만 상호작용할 수 있습니다
  • 해당 내용에 대한 갈취 행위를 금합니다

공시방침

협조된 공개: 취약성이 수정되고 프로그램 소유자가 공개 권한을 제공한 후 취약성 세부 정보가 제3자와 공유될 수 있습니다.

공식 채널

키슬러의 공식 채널을 이용하여 보안 문제를 보고하고 관련된 모든 정보를 제공해 주시기 바랍니다. 더 많은 정보를 제공하면 할수록 키슬러는 해당되는 문제들을 분류하고 해결책을 생성하는데 용이합니다.

공식 채널은 다음과 같습니다:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=lVoV
-----END PGP PUBLIC KEY BLOCK-----

세이프 하버

본 정책에 따라 취약점 연구를 수행할 때, 본 정책에 따라 수행되는 본 연구를 다음과 같이 고려합니다:

  • 해당하는 모든 해킹 관련 법률에 대해 동의한 것으로 간주하며, 본 정책에 대한 실수나 선의의 위반에 대해 법적 조치를 취하거나 지원하지 않을 것입니다
  • 관련 기술 통제의 회피에 대한 법률에 대해서도 동의한 것으로 간주하며, 회피에 대한 청구를 제기하지 않을 것입니다
  • 보안 조사를 수행하는 데 방해가 될 수 있는 서비스 조건(TOS) 및/또는 AUP(Aceptable Usage Policy)의 제한 사항에 대해 일정 기간 동안 면제될 것입니다
  • 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 선의로 수행된 행동들에 대해서도 면제됩니다

귀하는 항상 모든 적용 가능한 법률을 준수해야 합니다. 귀하에 대한 제3자의 법적 조치가 개시되었고, 귀하가 본 정책을 준수한 경우, 당사는 귀하의 조치가 본 정책에 따라 수행되었음을 알리기 위한 조치를 취할 것입니다.

본 정책의 보안 조사가 이 정책과 일치하는지 여부에 대해 우려가 있거나 불확실한 경우, 계속 진행하기 전에 공식 채널 중 하나를 통해 보고서를 제출하십시오.

법률적 고지

Kistler는 본 정책의 약관을 수정할 권리가 있으며, 귀하의 참여는 모든 조항의 승인 및 동의를 내포하고 있습니다. 내용 게시를 진행하실 시에 유효한 우리의 정책 조항과 자격을 정기적으로 업데이트하므로, 정기적으로 해당 사이트를 확인하시기 바랍니다. 우리는 언제든지 본 정책을 취소할 권리가 있습니다.