Zásady odpovědného oznamování
Společnost Callebaut se zavazuje chránit důvěrnost osobních údajů spotřebitelů a zaměstnanců a zajistit dostupnost našich informačních systémů. Účelem těchto zásad je poskytnout bezpečnostním výzkumníkům jasné pokyny pro provádění činností zaměřených na odhalování zranitelností a sdělit naše preference ohledně způsobu, jakým nám mají odhalené zranitelnosti předkládat k posouzení. Vyzýváme vás, abyste nás kontaktovali a nahlásili nám zranitelnosti na našich webových stránkách a v našich systémech.
Pokud se při svém bezpečnostním výzkumu budete v dobré víře snažit dodržovat tyto zásady, budeme váš výzkum považovat za oprávněný. Budeme s vámi spolupracovat na tom, abychom nahlášené problémy rychle pochopili a vyřešili. Společnost Callebaut nebude v souvislosti s vaším výzkumem doporučovat ani podnikat žádné právní kroky.
Upozorňujeme, že společnost Callebaut neprovozuje program odměn za nalezení chyb (bug bounty) a nenabízí žádné odměny ani kompenzace výměnou za nahlášení potenciálních bezpečnostních problémů či zranitelností.
Pokyny
Společnost Callebaut doporučuje následující pokyny pro výzkumné pracovníky, kteří chtějí nahlásit zranitelnost nebo provádět legitimní výzkum. V rámci této politiky se „výzkumem“ rozumí činnosti, při nichž:
- nás co nejdříve informujete poté, co objevíte skutečný nebo potenciální bezpečnostní problém
- Vynaložte veškeré úsilí, abyste zabránili porušení ochrany osobních údajů, zhoršení uživatelského zážitku, narušení produkčních systémů a zničení či manipulaci s daty
- Exploity používejte pouze v míře nezbytné k potvrzení existence zranitelnosti
- Nepoužívejte exploit k narušení bezpečnosti nebo exfiltraci dat, k získání trvalého neoprávněného přístupu ani k proniknutí do jiných systémů
- Než problém zveřejníte, poskytněte nám přiměřenou lhůtu na jeho vyřešení
Jakmile zjistíte, že existuje zranitelnost, nebo narazíte na jakákoli citlivá data (včetně osobních údajů, finančních informací, proprietárních informací nebo obchodních tajemství jakékoli strany), musíte test zastavit, neprodleně nás informovat a tato data nikomu jinému nesdělovat.
Nahlášení zranitelnosti
Chcete-li nahlásit zranitelnost, zašlete prosím e-mail na adresu cybersecurity@barry-callebaut.com . Abychom mohli nahlášené problémy lépe roztřídit a stanovit jejich prioritu, doporučujeme, aby vaše hlášení obsahovalo:
- Kdy byla zranitelnost nebo problém zjištěn
- Popište systém nebo produkt, u kterého byla chyba zabezpečení objevena
- Popište kroky potřebné k reprodukci této zranitelnosti
- Jakékoli návrhy nebo nápady na nápravu této zranitelnosti
- Společnost Callebaut se zavazuje potvrdit přijetí všech nahlášení do 3 pracovních dnů a děkuje vám za vaši účast.
Rozsah
Tento program se vztahuje na všechny webové stránky společnosti Callebaut, které jsou v jejím vlastnictví nebo na které má společnost licenci; na všechny obchodní systémy připojené k internetu; a na produkty připojené k internetu a mobilní aplikace. Program nezahrnuje:
- kampaně sociálního inženýrství nebo phishingu zaměřené na zaměstnance společnosti Callebaut
- Útoky typu „Denial of Service“ (DoS) na webové stránky nebo podnikové aplikace společnosti Callebaut
- Jakékoli jiné neoprávněné činnosti s úmyslem způsobit škodu
V případě dotazů k tomuto programu nebo pro nahlášení zranitelnosti kontaktujte společnost Callebaut na adrese cybersecurity@barry-callebaut.com
Vyhrazujeme si právo kdykoli změnit obsah těchto zásad nebo je zrušit.
Často kladené otázky
-
O čem není nutné podávat zprávu?
- Sender Policy Framework (SPF), DKIM a DMARC
- Kontaktní formuláře bez omezení počtu odeslání
- Zveřejnění známých veřejných souborů nebo adresářů (např. robots.txt)
- Zveřejnění banneru na běžných/veřejných službách bez důkazu proveditelnosti (PoC)
- Konfigurace bezpečnostních hlaviček nebo chybějící hlavičky
- Chybějící příznaky Secure/HTTPOnly u necitlivých souborů cookie
-
Jak nakládáte s mými osobními údaji?
Ve společnosti Callebaut klademe velký důraz na ochranu soukromí. V souladu s normami na ochranu osobních údajů, jako je GDPR, uchováváme o vás pouze minimální množství informací, a to po omezenou dobu a výhradně za účelem komunikace s vámi.
Proto při komunikaci s námi shromažďujeme vaše jméno (nebo vámi zvolený pseudonym) a vaši e-mailovou adresu. To jsou jediné osobní údaje, které potřebujeme. Tyto údaje uchováváme po dobu, po kterou řešíme vaše zodpovědné nahlášení. Jakmile bude případ uzavřen, budeme vaše údaje uchovávat ještě po dobu 1 roku od data uzavření. Poté vaše údaje vymažeme .
-
Kdy se mi ozvete poté, co podám oznámení?
Vaše nahlášení by mělo být potvrzeno v přiměřené lhůtě, obvykle do 72 hodin. Následně bude nutné nahlášení ověřit, po čemž vás budeme znovu kontaktovat, obvykle do 10 pracovních dnů. Upozorňujeme, že na nahlášení nízké kvality nemusíme být schopni reagovat.
-
Nabíráte nové zaměstnance?
Neustále hledáme kvalifikované odborníky v oblasti bezpečnosti! Prohlédněte si naše nabídky volných pracovních míst na https://jobs.barry-callebaut.com/.
-
Mohu po zveřejnění této chyby zabezpečení zveřejnit nějaké informace o ní?
Žádáme, aby veškeré zveřejněné informace zůstaly důvěrné v zájmu ochrany naší komunity. Za velmi specifických okolností a v případě závažných zveřejnění můžeme uvažovat o společném veřejném prohlášení. To však musí být předem odsouhlaseno na cybersecurity@barry-callebaut.com.