1. บทนำ

เป้าหมายสำคัญของ PSIRT ของ Western Digital (ฝ่ายรับมือเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์) คือการปกป้องความปลอดภัยของผู้ใช้ปลายทางของผลิตภัณฑ์ Western Digital นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ Western Digital ส่งเสริมการแสดงความคิดเห็นของบรรดานักวิจัยด้านการรักษาความปลอดภัยและประชาชนทั่วไป การดำเนินการโดยสุจริตใจและมีส่วนร่วมในการวิจัยและการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย หากคุณเชื่อว่าคุณพบช่องโหว่ด้านความปลอดภัยใดๆ ข้อมูลที่ถูกเปิดเผย หรือปัญหาด้านความปลอดภัยอื่นๆ โปรดบอกให้เราทราบ นโยบายนี้จะระบุขั้นตอนการรายงานช่องโหว่ด้านความปลอดภัยแก่เรา อธิบายคำจำกัดความของ Western Digital เกี่ยวกับการดำเนินการโดยสุจริตใจในบริบทของการค้นพบและรายงานช่องโหว่ที่อาจเกิดขึ้น ทั้งยังอธิบายว่าบรรดานักวิจัยสามารถคาดหวังสิ่งใดจาก Western Digital เป็นการตอบแทน

2. คำจำกัดความ

1. เรา / พวกเรา: ภายในขอบเขตของนโยบายนี้ "เรา" หมายถึงแบรนด์ Western Digital ทั้งหมดและครอบคลุมแบรนด์ต่างๆ ของเรา
2. คุณ / ผู้รายงานช่องโหว่ด้านความปลอดภัย: บุคคล องค์กร หรือกลุ่มที่มีสมาชิกจำกัดซึ่งเปิดเผยรายงานช่องโหว่ด้านความปลอดภัย
3. กรอบเวลาการรักษาข้อมูลเป็นความลับ: เมื่อเรายอมรับรายงานช่องโหว่ด้านความปลอดภัยของคุณ เป้าหมายของเราคือการดำเนินการแก้ไขและเปิดเผยการแก้ไขนั้นภายใน 90 วันนับจากที่รับทราบในครั้งแรก หากต้องการข้อมูลเพิ่มเติมเพื่อยืนยันถึงช่องโหว่ด้านความปลอดภัย เราจะติดต่อคุณ หากเราไม่ได้รับคำตอบหลังจากที่ได้พยายามติดต่อคุณแล้ว 3 ครั้ง เราอาจปิดกรณีนี้ แต่เรายังคงยินดีที่จะได้รับการสื่อสารจากคุณในอนาคต
4. กระดานข่าวด้านความปลอดภัย: กระดานข่าวความปลอดภัยของเราติดประกาศไว้ที่นี่:
   https://www.westerndigital.com/support/productsecurity
5. ช่องทางการรายงานที่เป็นทางการ: ช่องทางการสื่อสารเพื่อแจ้งถึงการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย: PSIRT@wdc.com.
6. การรับทราบในครั้งแรก: วันที่เราตอบสนองหลังจากได้รับรายงานของคุณที่ส่งถึง PSIRT พร้อมระบุหมายเลขกรณี และวันที่เปิดเผยข้อมูลใน 90 วัน

3. คำแนะนำในการรายงานช่องโหว่ด้านความปลอดภัย

หากต้องการรายงานปัญหาด้านความปลอดภัยที่คุณคิดว่าคุณพบในผลิตภัณฑ์หรือบริการของ Western Digital โปรดแจ้งรายละเอียดสิ่งที่คุณพบผ่านทางอีเมลมายัง ช่องทางการรายงานที่เป็นทางการ ของเรา ข้อความที่ส่งมายังที่อยู่อีเมลอื่นอาจทำให้การตอบสนองต้องล่าช้าออกไป

ข้อมูลที่จําเป็น:

• ผลิตภัณฑ์ที่ระบุอย่างเฉพาะเจาะจงและหมายเลขรุ่น หรือ
• สําหรับบริการต่างๆ ให้ระบุชื่อบริการที่เฉพาะเจาะจงและ/หรือ URL รวมถึงการบันทึกเวลาของปัญหาที่รายงาน และ
• ขั้นตอนในการทำซ้ำปัญหานี้ รวมถึงการพิสูจน์แนวคิด (PoC)

ขอแนะนําว่า

• โปรดให้ข้อมูลอ้างอิง CWE ที่เกี่ยวข้อง ถ้ามี
• คุณคิดว่าช่องโหว่ด้านความปลอดภัยนี้ถูกเปิดเผยต่อสาธารณะหรือบุคคลภายนอกล่วงรู้หรือไม่

คุณสามารถเข้ารหัสข้อมูลก่อนที่จะส่งโดยใช้ คีย์ PGP/GPG ของเรา

4. การเปิดเผยข้อมูลช่องโหว่โดยประสานงานกับหลายฝ่าย

เราปฏิบัติตามแนวทางและวิธีปฏิบัติ FIRST สำหรับการประสานงานและการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยแบบหลายฝ่าย

5. ขอบเขตของผลิตภัณฑ์และบริการ

เรายอมรับรายงานการรักษาความปลอดภัยสําหรับผลิตภัณฑ์ที่ใช้ HDD และแพลตฟอร์มทั้งหมดของ Western Digital รวมถึงบริการคลาวด์ที่เกี่ยวข้องซึ่งไม่ได้อยู่ในระยะสิ้นสุดการอัปเดต/การสนับสนุน ผลิตภัณฑ์และบริการทั้งหมดที่เกินระยะสิ้นสุดการอัปเดต/การสนับสนุนแล้ว จะไม่อยู่ภายใต้นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยนี้

6. นอกขอบเขต

การตรวจคัดกรองช่องโหว่ของผลิตภัณฑ์

• PSIRT ไม่ยอมรับรายงานการตรวจคัดกรองช่องโหว่ด้านความปลอดภัยบนอุปกรณ์ของเรา หากไม่มีการพิสูจน์แนวคิด

สําหรับรายงานผลิตภัณฑ์แบบแฟลชของ Western Digital โปรดดูที่นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ SanDisk

นอกจากนี้ เรายังยินดีรับรายงานช่องโหว่ด้านความปลอดภัยเกี่ยวกับการนําเสนอของเราทางอินเทอร์เน็ต กล่าวคือ westerndigital.com ทั้งนี้ โปรดส่งรายงานเหล่านี้มาที่ websecurity@wdc.com

ช่องโหว่ด้านความปลอดภัยของเว็บที่เป็นที่ยอมรับ:

• หมวดหมู่ช่องโหว่ด้านความปลอดภัย 10 อันดับแรกของ OWASP
• ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่แสดงให้เห็นถึงผลกระทบ

ช่องโหว่ด้านความปลอดภัยของเว็บที่ไม่เป็นที่ยอมรับ:

• ช่องโหว่ด้านความปลอดภัยทางทฤษฎี
• การเปิดเผยข้อมูลที่ไม่ใช่ข้อมูลที่ละเอียดอ่อน
• ผลกระทบต่ำ/ความเป็นไปได้ของช่องโหว่ในการเจาะระบบที่ต่ำ

7. พันธกิจของเรา

เมื่อร่วมมือกับเราโดยเป็นไปตามนโยบายนี้ โปรดทราบว่า

• ปัจจุบันเราไม่เสนอหรือมีส่วนร่วมในโปรแกรมล่าเงินรางวัลใดๆ เราไม่ยอมรับคำขอให้มีการจ่ายเงินรางวัล สิ่งของโปรโมชั่น หรือเครดิตใดๆ ที่นอกเหนือจากกระบวนการเผยแพร่ในกระดานข่าวด้านความปลอดภัยของเรา
• เราจะ รับทราบในชั้นต้น เกี่ยวกับรายงานช่องโหว่ด้านความปลอดภัยของคุณภายใน 3 วันทำการที่ได้รับรายงาน และเราจะมอบหมายเลขติดตามให้คุณ
• เราจะส่งการยืนยันการยอมรับชอ่งโหว่ด้านความปลอดภัยภายใน 30 วันหลังจากที่เราได้ รับทราบในชั้นต้น และเราจะระบุวันครบกำหนดในการแก้ไข หากเราไม่ยอมรับรายงาน เราจะแจ้งเหตุผลและเราจะเปิดรับข้อมูลใหม่ๆ เกี่ยวกับรายงานดังกล่าว
• ทันทีที่ช่องโหว่ที่มีการรายงานได้รับการยืนยัน วิศวกรของเราจะดำเนินการเพื่อพัฒนาวิธีการแก้ไขที่เหมาะสม
• บางครั้งอาจมีช่องโหว่ด้านความปลอดภัยที่ไม่สามารถแก้ไขได้ภายในกำหนดเวลา 90 วัน หากจำเป็นต้องใช้เวลานานกว่า กรอบเวลาการรักษาข้อมูลเป็นความลับ เราจะดำเนินการร่วมกับคุณเพื่อขยาย กรอบเวลาการรักษาข้อมูลเป็นความลับ ออกไป หรือให้คำแนะนำอื่น การแก้ปัญหาในเรื่องนี้อาจขึ้นอยู่กับ:
  
  • ผู้ให้บริการขั้นต้นที่มีกรอบเวลาการแก้ไขปัญหาที่แตกต่างไปจากกรอบเวลาของเรา
  • การเปลี่ยนแปลงสถาปัตยกรรมที่สำคัญซึ่งจำเป็นต่อการแก้ไขช่องโหว่นี้
  • ข้อกำหนดการตรวจสอบเพิ่มเติมหรือซับซ้อน อันเป็นผลมาจากการเปลี่ยนแปลงเฟิร์มแวร์ระดับต่ำ เช่น สำหรับช่องโหว่ด้านความปลอดภัยของเฟิร์มแวร์ฮาร์ดไดรฟ์
• เราจะเผยแพร่กระดานข่าวด้านความปลอดภัยตามดุลยพินิจของเราเอง เพื่อให้ข้อมูลด้านการรักษาความปลอดภัยแก่ลูกค้าของเราและประชาชนทั่วไป เราจะส่งหนังสือตอบรับถึงคุณในส่วนที่เกี่ยวกับการค้นพบและการรายงานช่องโหว่บน กระดานข่าวด้านความปลอดภัย และ CVE ในกรณีดังต่อไปนี้
  • ช่องโหว่ด้านความปลอดภัยที่รายงานส่งผลกระทบต่อผลิตภัณฑ์ Western Digital ที่ได้รับการสนับสนุนในปัจจุบัน
  • เราทำการเปลี่ยนแปลงรหัสหรือการกำหนดค่าโดยอิงตามปัญหานี้
  • คุณเป็นคนแรกที่รายงานปัญหานี้
  • การวิจัยของคุณดำเนินการโดยสอดคล้องกับนโยบายนี้ และ
  • คุณให้ความยินยอมต่อการรับทราบนี้
• เราไม่เผยแพร่คําแนะนําในการปรับปรุงการรักษาความปลอดภัยโดยทั่วไป และการแก้ไขโปรแกรมป้องกันที่ไม่ส่งผลกระทบต่อความปลอดภัยที่ได้รับการพิสูจน์แล้ว

8. ความคาดหวังของเรา

ในการเข้าร่วมโปรแกรมการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยโดยสุจริตใจ เราขอให้คุณดำเนินการดังนี้

• เล่นตามกติกา รวมถึงการปฏิบัติตามนโยบายนี้และข้อตกลงที่เกี่ยวข้องอื่นใด หากมีข้อแตกต่างใดๆ ระหว่างข้อกำหนดของนโยบายนี้กับข้อกำหนดอื่นที่มีผลบังคับใช้ ให้ถือว่าข้อกำหนดของนโยบายนี้มีผลเหนือกว่า
• รายงานช่องโหว่ด้านความปลอดภัยที่คุณพบให้เราทราบโดยทันที
• ใช้ความพยายามอย่างเต็มที่ในการหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำให้ประสบการณ์การใช้งานต้องด้อยลง การขัดจังหวะระบบการผลิต และการทำลายข้อมูลในระหว่างการทดสอบด้านความปลอดภัย โดยเฉพาะอย่างยิ่ง:
  
  • ไม่ก่อให้เกิดหรือเกิดความเสียหายจริงต่อผู้ใช้ ระบบ หรือแอปพลิเคชันของเรา รวมถึงผ่านการทดสอบการรบกวน เช่น การปฏิเสธการบริการ (Denials of Service)
  • ไม่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในทางที่ผิดเพื่อดูข้อมูลที่ไม่ได้รับอนุญาตหรือทำให้ข้อมูลใดๆ เสียไป
  • ไม่โจมตีโดยมุ่งเป้าที่บุคลากร ทรัพย์สิน ศูนย์ข้อมูล พันธมิตร และบริษัทในเครือ
  • ไม่พยายามใช้กลวิธีทางจิตวิทยา (Social Engineering) หรือหลอกลวงว่าคุณเกี่ยวข้องหรือได้รับอนุญาตจากเรา และติดต่อไปยังพนักงาน ผู้รับจ้าง หรือบริษัทในเครือใดๆ ของเราเพื่อเข้าถึงสินทรัพย์ของเรา
    
  • ไม่ฝ่าฝืนกฎหมายหรือละเมิดข้อตกลงใดๆ เพื่อที่จะค้นพบช่องโหว่ด้านความปลอดภัย
    
• ทำการวิจัยภายในขอบเขตผลิตภัณฑ์ที่ระบุไว้ข้างต้นภายใต้หัวข้อขอบเบตผลิตภัณฑ์และบริการ
• แจ้งให้เราทราบถึงช่องโหว่ด้านความปลอดภัยผ่านกระบวนการรายงานช่องโหว่ด้านความปลอดภัยของเราเท่านั้น
  
• รักษาความลับของข้อมูลที่คุณพบเกี่ยวกับช่องโหว่ด้านความปลอดภัยใดๆ จนกว่าเราจะได้แก้ไขปัญหาและมีการโพสต์ลงใน กระดานข่าวด้านความปลอดภัย อย่าเปิดเผยข้อมูลที่อยู่นอกกรอบเวลาการรักษาความลับ
• ถ้าช่องโหว่ด้านความปลอดภัยนั้นระบุช่องทางการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ ให้ปฏิบัติดังนี้
  
  • จำกัดปริมาณข้อมูลที่คุณเข้าถึงได้ให้เหลือน้อยที่สุดเท่าที่จำเป็นในการแสดงใหลักฐานของแนวคิดดังกล่าวได้อย่างมีประสิทธิผล และ
  • หยุดทดสอบและส่งรายงานทันทีถ้าคุณพบข้อมูลของผู้ใช้ใดๆ ในระหว่างการทดสอบ เช่น ข้อมูลที่สามารถระบุตัวบุคคล (PII) ข้อมูลด้านการดูแลสุขภาพส่วนตัว (PHI) ข้อมูลบัตรเครดิต หรือข้อมูลที่มีกรรมสิทธิ์
• ให้ดำเนินการกับบัญชีทดสอบที่คุณเป็นเจ้าของ หรือบัญชีที่คุณได้รับอนุญาตโดยชัดแจ้งจากเจ้าของบัญชีเท่านั้น

9. การปฏิเสธความรับผิด

เราอาจอัปเดตนโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยได้ในบางครั้ง โปรดทบทวนนโยบายนี้ก่อนที่จะส่งรายงานช่องโหว่ด้านความปลอดภัย การเปิดเผยข้อมูลจะอยู่ภายใต้กำกับดูแลของนโยบายนี้ในเวอร์ชันที่เผยแพร่ ณ เวลาที่มีการรับทราบในชั้นต้น

10. ประวัติการเปลี่ยนแปลง

เผยแพร่เมื่อ: 17 มีนาคม 2025
เวอร์ชัน: 2.0

11. ข้อมูลอ้างอิง

นโยบายนี้อิงตามแนวทางที่นำเสนอในเอกสารมาตรฐาน ISO 29147 & 30111
ขอขอบคุณ disclose.io สำหรับเค้าโครงของพวกเขาและข้อความที่จัดหาให้ภายใต้ Creative Commons CC-0 เนื่องจากเป็นประโยชน์มากในการจัดทำ VDP ของเรา