ĐIỀU 1. MỤC ĐÍCH VÀ PHẠM VI

Mục đích:

  • Tạo ra một quy trình cụ thể và cấu trúc để người dùng hoặc nhóm người dùng báo cáo về các lỗ hổng bảo mật mà họ phát hiện trong hệ thống, ứng dụng hoặc dịch vụ của Công ty Lancs Retails đó.
  • Tạo ra một kênh thông tin an toàn và tin cậy cho người dùng hoặc nhóm nghiên cứu bảo mật để báo cáo về các lỗ hổng mà họ phát hiện được. Thay vì tìm cách tận dụng lỗ hổng đó để gây hại, khách hàng/người dùng có thể thông báo cho Công ty Lancs Retails để có thể khắc phục và bảo vệ trước khi lỗ hổng đó được sử dụng bởi kẻ tấn công.

Phạm vi:

Áp dụng cho tất cả các hệ thống, ứng dụng và dịch vụ thuộc quản lý hoặc sở hữu của CÔNG TY CỔ PHẦN BÁN LẺ CÔNG NGHỆ MẠNG LANCS VIỆT NAM (LANCS RETAILS)

ĐIỀU 2. QUY TRÌNH BÁO CÁO

  1. Kênh báo cáo

Khách hàng/ Người dùng có thể báo cáo qua Email liên hệ của Lancs Retails/ hoặc các cơ chế liên lạc khác như: gọi điện thoại đến Hotline hoặc qua Chat Zalo OA với Hotline của Lancs Retails.

  • Yêu cầu thông tin cần thiết

Khách hàng cần cung cấp các thông tin sau đây khi gửi báo cáo lỗ hổng:

  • Mô tả chi tiết về lỗ hổng: Mô tả cụ thể về lỗ hổng bao gồm các chi tiết kỹ thuật và chức năng của lỗ hổng.
  • Cách thức khai thác: Mô tả cách mà lỗ hổng có thể được khai thác, bao gồm các bước cụ thể hoặc mã độc có thể được sử dụng.
  • Tác động tiềm năng (nếu được): Đánh giá về tác động tiềm năng của lỗ hổng, bao gồm các hậu quả về bảo mật và khả năng ảnh hưởng đến hoạt động của Lancs Retails.
  • Bảo mật thông tin

Thông tin về lỗ hổng được gửi và xử lý một cách an toàn và bảo mật, đảm bảo rằng thông tin này chỉ được tiết lộ cho những người cần thiết để khắc phục lỗ hổng.

  • Xác nhận và phản hồi

Công ty Lancs Retails có quy trình để xác nhận và phản hồi lại người báo cáo sau khi khách hàng gửi báo cáo, bao gồm việc cung cấp một biên bản hoặc số theo dõi để người báo cáo có thể theo dõi tiến trình của báo cáo của khách hàng.

ĐIỀU 3. CAM KẾT CỦA CÔNG TY LANCS RETAILS

Cam kết xác nhận đã nhận được báo cáo trong vòng 2 ngày làm việc:

Công ty Lancs Retails sẽ xem xét và xác nhận báo cáo lỗ hổng từ phía người báo cáo trong vòng 48 giờ sau khi báo cáo được gửi đi.

Cam kết không thực hiện hành động pháp lý chống lại người báo cáo lỗ hổng nếu họ tuân thủ chính sách tiếp nhận báo cáo lỗ hổng và điểm yếu:

Người báo cáo lỗ hổng sẽ không bị truy cứu trách nhiệm pháp lý hoặc bị hành động pháp lý nếu họ tuân thủ chính sách của Công ty Lancs Retails. Điều này giúp tạo ra một môi trường an toàn và động viên cho người báo cáo lỗ hổng, đồng thời khuyến khích họ chia sẻ thông tin về lỗ hổng một cách mở cửa và trung thực.

ĐIỀU 4. QUY TRÌNH XỬ LÝ BÁO CÁO

Xác minh:

Lancs Retails sẽ xác minh tính chính xác của thông tin báo cáo, bao gồm việc kiểm tra lỗ hổng được báo cáo có thực sự tồn tại và có thể được khai thác hay không.

Đánh giá:

Lỗ hổng sẽ được đánh giá để xác định mức độ nghiêm trọng và tác động của nó đối với hệ thống, ứng dụng hoặc dịch vụ. Đánh giá này có thể bao gồm việc xác định khả năng khai thác của lỗ hổng, tiềm năng ảnh hưởng đến dữ liệu hoặc hệ thống, và mức độ ưu tiên của việc khắc phục.

Khắc phục:

Sau khi đánh giá, Công ty Lancs Retails sẽ thực hiện các biện pháp để khắc phục lỗ hổng. Điều này có thể bao gồm việc phát triển và triển khai các bản vá, cấu hình lại hệ thống, hoặc triển khai các biện pháp bảo mật phụ trợ.

Thời gian ước tính để giải quyết:

Công ty Lancs Retails thường cung cấp một thời gian ước tính để giải quyết lỗ hổng cho người báo cáo. Thời gian này có thể phụ thuộc vào mức độ nghiêm trọng của lỗ hổng và tài nguyên có sẵn để triển khai các biện pháp khắc phục.

ĐIỀU 5. PHẢN HỒI VÀ LIÊN LẠC

Phản hồi về trạng thái và kết quả xử lý lỗ hổng:

Công ty Lancs Retails cung cấp thông tin phản hồi cho người báo cáo về trạng thái và kết quả của việc xử lý lỗ hổng mà họ báo cáo. Điều này bao gồm việc thông báo cho người báo cáo khi lỗ hổng đã được xác nhận, tiến trình của quá trình khắc phục, và thông tin về bản vá hoặc biện pháp an ninh đã được triển khai.

Kênh liên lạc để trao đổi thông tin thêm:

Người báo cáo có một kênh liên lạc để trao đổi thông tin thêm nếu cần. Điều này có thể là một địa chỉ email hoặc một hệ thống theo dõi lỗ hổng trực tuyến mà họ có thể sử dụng để gửi thêm thông tin, hỏi thêm câu hỏi hoặc cập nhật về trạng thái của lỗ hổng.

ĐIỀU 6. BẢO MẬT VÀ QUYỀN RIÊNG TƯ

Cam kết bảo mật thông tin cá nhân và chi tiết báo cáo của người báo cáo:

Công ty Lancs Retails cam kết bảo vệ thông tin cá nhân và chi tiết báo cáo của người báo cáo. Điều này có thể bao gồm việc chỉ tiết lộ thông tin cần thiết cho những người cần biết để xử lý lỗ hổng và bảo mật thông tin còn lại.

Đảm bảo quá trình xử lý lỗ hổng diễn ra kín đáo và an toàn:

Công ty Lancs Retails cũng đảm bảo rằng quá trình xử lý lỗ hổng sẽ diễn ra một cách kín đáo và an toàn, không tiết lộ thông tin về lỗ hổng cho bất kỳ bên thứ ba nào không có quyền truy cập.

ĐIỀU 7. CHÍNH SÁCH KHEN THƯỞNG

Công ty Lancs Retails có chính sách khen thưởng cho người báo cáo theo chính sách của Công ty và tùy thuộc vào hoàn cảnh cụ thể của vụ việc.

ĐIỀU 8. CÔNG BỐ CHÍNH SÁCH

Đăng tải trên trang web:

  • Chính sách nên được đăng tải trên trang web của Công ty Lancs Retails.
  • Link gửi Mail hoặc nút tìm kiếm cách thức báo cáo sẽ được đặt ở vị trí dễ tiếp cận để người dùng có thể truy cập thông tin một cách nhanh chóng.

Thông báo cho các bên liên quan:

  • Công ty Lancs Retails sẽ gửi thông báo về chính sách tiếp nhận báo cáo về lỗ hổng/ điểm yếu đến các đối tác, khách hàng và cộng đồng bảo mật.
  • Thông báo nên được gửi qua các kênh như: email, thông báo trên các diễn đàn bảo mật hoặc thông qua các kênh truyền thông mạng xã hội phù hợp.

Nội dung công bố:

  • Thông tin trong công bố nên bao gồm mục đích và phạm vi của chính sách tiếp nhận báo cáo về lỗ hổng/ điểm yếu, cách thức tiếp nhận báo cáo và cam kết của Công ty Lancs Retails đối với bảo mật thông tin và quyền riêng tư.
  • Cần cung cấp một cái nhìn tổng quan và dễ hiểu về cách Công ty Lancs Retails xử lý các báo cáo lỗ hổng và cách người dùng có thể liên lạc.

ĐIỀU 9. THIẾT LẬP CÁC KÊNH BÁO CÁO

Email chuyên dụng:

  • Công ty Lancs Retails có một địa chỉ email chuyên dụng hoặc hộp thư đến dành riêng cho việc nhận báo cáo lỗ hổng/ điểm yếu.
  • Địa chỉ email này được công bố rộng rãi và dễ dàng tiếp cận cho cộng đồng bảo mật và người dùng.

Hệ thống theo dõi lỗ hổng trực tuyến:

  • Công ty Lancs Retail và Công ty mẹ là Lancs Networks có một hệ thống theo dõi lỗ hổng trực tuyến, cho phép người dùng gửi báo cáo lỗ hổng và theo dõi tiến trình xử lý một cách dễ dàng.
  • Các kênh tiếp nhận thông tin đơn giản và thân thiện với người dùng, cho phép họ gửi thông tin chi tiết về lỗ hổng một cách thuận tiện.

Giám sát liên tục:

  • Đảm bảo rằng các kênh báo cáo được giám sát liên tục, đặc biệt là trong các ngày làm việc.
  • Quy trình để xử lý báo cáo một cách nhanh chóng và hiệu quả, bao gồm xác minh, đánh giá và khắc phục lỗ hổng.

Cập Nhật Thông Tin:

Cung cấp thông tin cập nhật về tiến trình xử lý lỗ hổng cho người báo cáo, bao gồm thông tin về trạng thái của báo cáo và các biện pháp khắc phục đã được triển khai.

Phản Hồi Tới Người Báo Cáo:

Cung cấp phản hồi cho người báo cáo sau khi họ gửi báo cáo lỗ hổng, bao gồm xác nhận nhận được và thông tin về tiến trình xử lý.