负责任的披露

主要内容从这里开始

Pentair负责任披露计划

使命

Pentair致力于其赢取权限。生活的一部分我们的胜利价值观是对我们产品,技术,客户和员工的安全的承诺。Pentair认可并重视安全研究人员在识别潜在的安全漏洞方面的工作。因此,PENTAIR通过了这一负责任的披露计划(“计划”),以鼓励安全研究人员通过负责任地检测和报告潜在的漏洞来促进我们正在进行的安全工作。

计划范围

原则上,该计划涵盖所有Pentair产品和服务,不包括任何第三方提供的网络组件,如云服务提供商。该计划包括,例如:

  • 所有网站,包括.pentair.com,pentairaes.com,pelicanwater.com
  • 所有当前连接的产品(不包括云连接和云存储)
  • 所有移动应用程序

有关计划中排除的产品、服务和漏洞,请参阅下面的“超出范围”列表

研究表现

要遵守该计划,披露潜在漏洞的安全研究人员必须按照以下事项执行此操作:

  • 你不能妥协公共安全;
  • 您不得使用报告中第三方所拥有的信息;
  • 您不能使用或利用任何漏洞;
  • 您不能在任何情况下下载,导出或存储PentAir的数据;
  • 您不得干扰他人使用Pentair产品或服务;
  • 您不得使用不是您自己的帐户;
  • 您不得违反任何适用的本地,国家,国家或国际法;
  • 您不能造成任何数据隐私违规行为;
  • 您不得造成任何侵犯知识产权的行为;和

具体而言,禁止以下活动:

  • 针对Pentair、其产品或任何第三方提供商的拒绝服务(DoS)攻击;
  • 从Pentair员工、承包商或第三方获取登录密码或凭证的社会工程或网络钓鱼;
  • 对Pentair员工、办公室或数据中心的物理攻击;
  • 知道任何恶意软件的分布;和
  • 使用未经请求的批量消息传递(垃圾邮件)来追求任何漏洞。

报告提交和审查

  • 要参与您必须通过电子邮件向Pentair(“报告”)提交潜在的漏洞报告responsibledisclosure@pentair.com.
  • 成功提交您的报告后,您将收到我们的确认书。
  • 我们收到报告后,我们将审核。请允许我们合理的时间来调查您的报告并确认情况。我们将合理地通知您通过我们验证的程序报告的任何漏洞的状态。
  • Pentair不对未收到的任何报告负责。

你的报告要包括什么

详细的,写的报告将帮助我们更快地评估这种情况。为了促进审查,请包括对潜在漏洞的详细描述,使我们能够重现和更正任何问题,并包括发现中使用的目标,工具,过程,工件等。欢迎截图的提交。

披露

我们致力于及时回应所有报告。为了返回我们承诺回答所有报告,符合本计划的资格,您不得披露报告的任何内容或您将报告提交给Pentair以外的任何人。PENTAIR宣告您已完成对报告审核后,您可以要求披露向第三方报告的内容。在审查所有此类请求时,Pentair在唯一的自由裁量权,将使所有的决定您的资格参与

要参加此程序,您必须:

  • 已阅读并同意本计划;
  • 年满18岁;
  • 以个人能力或雇用您的组织许可参加该计划。

要参加此计划,您必须不可能

  • 在制裁清单或制裁清单上的国家(例如,古巴,伊朗,朝鲜,苏丹或叙利亚);
  • 禁止或限制通过任何适用法律参加该计划;
  • 目前或过去一年的Pentair及其关联公司雇用;或者
  • 作为报告主题的代码的作者。

如果您违反了任何提供这些陈述,您将自动取消该计划的资格。

合法的

  • 宗教信料在唯一可自行决定,可以随时修改或停止该计划。
  • 唯一可自行决定的浦本可以随时取消该计划的任何安全研究员。
  • Pentair可随时对任何犯罪或非法活动提起法律诉讼。
  • 该计划不会使您成为员工或公寓承包商,您对任何税收或基于您的国家和当地法律的额外限制负责。

联系信息

如果您对该计划有任何疑问,请联系我们responsibledisclosure@pentair.com.

超出范围

以下产品,服务和漏洞超出了本计划的范围:

  • 不再由Pentair生产,维护或销售产品和服务,包括过时或未拼成的应用,服务,软件,固件;
  • 第三方网站或服务,包括包含在Pentair应用程序中的第三方软件;
  • 只会导致应用程序崩溃的bug;
  • 对Pentair基础设施的攻击;
  • 需要物理访问用户移动设备的攻击;
  • 网络供应错误;
  • 违反许可证或适用于任何供应商产品的其他限制;
  • 第三方应用程序(如java、插件)或网站中的安全漏洞;
  • 主机头注入(除非您能够说明它们如何导致数据丢失);
  • self-xs(用户定义的有效载荷);
  • 登录/注销CSRF;
  • 使用已知的弱势库(没有利用能力的证据);
  • 影响过时浏览器或平台用户的漏洞;
  • 需要越狱或植根移动设备的漏洞;
  • 以前报告的漏洞除非在随后的报告中报告了一些附加信息;
  • 收购后的前六(6)个月最近收购,以便在国内审查和减轻任何问题;和
  • 漏洞忽略不计的安全影响或被利用以对浦地进行恶意攻击。常见示例可以包括但不限于以下内容:
    • 通过对PENTAIR员工,客户和/或合作伙伴进行攻击来发现漏洞,或者参考社会工程技术(例如,肩部冲浪,窃取设备,网络钓鱼,欺诈,被盗凭证);
    • 需要植根或越狱可移动设备的漏洞;
    • Pentair实验室,暂存环境或沙箱内的漏洞;
    • 系统漏洞与安全问题无关。

谢谢您对制作Pentair及其产品更安全的兴趣。

返回页面顶部