Vi tar all feedback gällande våra system på allvar och är fast beslutna om att fortsätta genomföra ständiga förbättringar.

Feedback från säkerhetsforskare är uppskattat eftersom det hjälper oss att skydda våra tjänster och fortsätta tillhandahålla en upplevelse i världsklass för alla som använder våra produkter.

Precis som alla bra teknikföretag har vi en tydlig, formell och robust rutin för anmälan av buggar och fel. Vi har även ett schema för förbättringsuppdateringar som vi släpper under året.

Vi har en policy för ansvarsfull anmälan av säkerhetsbrister. Däremot har vi inte något belöningsprogram för avslöjanden som görs vid säkerhetsforskning.

Paxton har inte för avsikt att vidta juridiska åtgärder mot personer som:

• Ägnar sig åt testning av system eller forskning utan att någon skadas
• Testar produkter utan att det påverkar kunder eller som får samtycke från kunder innan sårbarhetstestning genomförs på deras enheter eller mjukvara
• Håller sig till gällande lag och följer alla krav avseende programvarulicenser
• Genomför koordinerat offentliggörande, det vill säga personer som undviker att offentliggöra sårbarheter innan en ömsesidigt avtalad tidsgräns har löpt ut
• Undviker att påverka andras säkerhet och integritet

Denna policy är framtagen så att den är kompatibel med vanlig god sed för offentliggörandet av sårbarheter. Den ger dig inte rätt att agera på något olagligt sätt eller som kan göra att Paxton eller någon partnerorganisation bryter mot sina juridiska sina skyldigheter. Om du har en avtalsrelation med Paxton (oavsett om du är anställd eller om du är extern entreprenör eller leverantör) kompletterar denna policy alla villkor som reglerar den relationen. Om det uppstår konflikt eller oförenlighet mellan denna policy och villkoren som reglerar din befintliga avtalsrelation gäller dessa villkor.

Så anmäler man

Kontakta oss på security@paxton.co.uk för att anmäla en säkerhetsbrist gällande en Paxton-produkt.

För att få ut så mycket som möjligt från detta program, både vad gäller Paxton och säkerhetsforskaren i fråga, kräver vi följande:

• Rapporter som är välskrivna och som skickas på engelska om möjligt
• Rapporter som innehåller koncepttest med kod som gör att Paxton kan prioritera felet på ett bättre sätt
• Rapporter som innehåller uppgifter om hur sårbarheten identifierades, vilka steg som måste utföras för att återskapa det, en skattning av påverkansgraden och eventuella avhjälpande åtgärder
• Rapporter som består av mer än bara utdata från automatiserade testverktyg och skanningar
• Rapporter som innehåller eventuella avsikter eller tidsramar avseende offentliggörande

Om du följer dessa riktlinjer kan du räkna med följande från Paxton:

• Ett svar på din första anmälan inom rimlig tid, vanligtvis inom fem arbetsdagar
• En öppen dialog med en planerad tidsram för avhjälpande åtgärder (i förekommande fall)
• Rapport om eventuella fel eller utmaningar som kan göra att lösningen försenas
• Information om när de slutgiltiga avhjälpande åtgärderna har genomförts

Vad vi inte tillåter

Vi tillåter inte handlingar som kan störa kunder som använder våra tjänster eller som kan leda till att immateriell egendom eller personuppgifter ändras, tas bort eller offentliggörs utan tillstånd.

Därmed tillåter vi inte följande:

• Offentliggörande av person-, företags- eller finansuppgifter
• Ändring eller borttagning av data som inte tillhör dig
• Avbrott eller försämring av tjänster (t ex överbelastningsattacker)
• Angrepp via spam, social manipulering eller nätfiske
• Fysiska missbruk eller angrepp på infrastruktur
• Lokala nätverksbaserade attacker som DNS- eller ARP-förgiftning

Om du har några frågor kan du e-posta oss på security@paxton.co.uk eller ringa kundtjänst på +44 01273 811011