Richtlinie zur verantwortungsvollen Offenlegung

Callebaut verpflichtet sich, die Vertraulichkeit der personenbezogenen Daten von Verbrauchern und Mitarbeitern sowie die Verfügbarkeit unserer Informationssysteme zu schützen. Diese Richtlinie soll Sicherheitsforschern klare Leitlinien für die Durchführung von Aktivitäten zur Aufdeckung von Sicherheitslücken geben und unsere Präferenzen hinsichtlich der Art und Weise darlegen, wie entdeckte Sicherheitslücken zur Überprüfung an uns gemeldet werden sollten. Wir bitten Sie, sich mit uns in Verbindung zu setzen, um Sicherheitslücken auf unseren Websites und in unseren Systemen zu melden.

Wenn Sie sich im Rahmen Ihrer Sicherheitsforschung nach bestem Wissen und Gewissen bemühen, diese Richtlinie einzuhalten, betrachten wir Ihre Forschung als autorisiert. Wir werden mit Ihnen zusammenarbeiten, um gemeldete Probleme schnell zu verstehen und zu beheben. Callebaut wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung empfehlen oder einleiten.

Bitte beachten Sie, dass Callebaut kein Bug-Bounty-Programm betreibt und keine Belohnung oder Entschädigung als Gegenleistung für die Meldung potenzieller Sicherheitsbedenken oder Schwachstellen anbietet.

Leitlinien

Callebaut empfiehlt die folgenden Richtlinien für Forscher, die möglicherweise eine Sicherheitslücke melden oder legitime Forschungsarbeiten durchführen. Im Rahmen dieser Richtlinie bezeichnet „Forschung“ Aktivitäten, bei denen Sie:

  • uns so schnell wie möglich benachrichtigen, nachdem Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben
  • Unternehmen Sie alle Anstrengungen, um Datenschutzverletzungen, eine Beeinträchtigung der Benutzererfahrung, Störungen der Produktionssysteme sowie die Zerstörung oder Manipulation von Daten zu vermeiden
  • Nutzen Sie Exploits nur in dem Umfang, der zur Bestätigung des Vorhandenseins einer Sicherheitslücke erforderlich ist
  • Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften unbefugten Zugriff zu errichten oder den Exploit zu nutzen, um auf andere Systeme zu gelangen
  • Geben Sie uns eine angemessene Frist, um das Problem zu beheben, bevor Sie es öffentlich machen

 

Sobald Sie festgestellt haben, dass eine Sicherheitslücke besteht, oder auf sensible Daten stoßen (einschließlich personenbezogener Daten, Finanzdaten oder geschützter Informationen bzw. Geschäftsgeheimnisse einer Partei), müssen Sie Ihren Test unterbrechen, uns unverzüglich benachrichtigen und diese Daten niemandem sonst offenlegen.

Eine Sicherheitslücke melden

Bitte senden Sie eine E-Mail an cybersecurity@barry-callebaut.com , um eine Sicherheitslücke zu melden. Um uns bei der Einstufung und Priorisierung der Meldungen zu helfen, empfehlen wir, dass Ihr Bericht folgende Angaben enthält:

  • Wann die Sicherheitslücke oder das Problem entdeckt wurde
  • Beschreiben Sie das System oder Produkt, in dem die Sicherheitslücke entdeckt wurde
  • Beschreiben Sie die Schritte, die erforderlich sind, um die Sicherheitslücke zu reproduzieren
  • Vorschläge oder Ideen zur Behebung der Sicherheitslücke
  • Callebaut verpflichtet sich, alle Meldungen innerhalb von 3 Werktagen zu bestätigen, und bedankt sich für Ihre Mitarbeit.

Geltungsbereich

Der Geltungsbereich dieses Programms umfasst alle Websites von Callebaut, die sich im Besitz des Unternehmens befinden oder von diesem lizenziert sind, alle mit dem Internet verbundenen Geschäftssysteme sowie mit dem Internet verbundene Produkte und mobile Anwendungen. Das Programm umfasst nicht:

  • Social-Engineering- oder Phishing-Kampagnen, die sich gegen Callebaut-Mitarbeiter richten
  • Denial-of-Service-Angriffe (DoS) auf Callebaut-Websites oder Geschäftsanwendungen
  • Alle sonstigen unbefugten Aktivitäten mit böswilliger Absicht

Bitte wenden Sie sich bei Fragen zu diesem Programm oder zur Meldung einer Sicherheitslücke an Callebaut unter cybersecurity@barry-callebaut.com  

Wir behalten uns das Recht vor, den Inhalt dieser Richtlinie jederzeit zu ändern oder die Richtlinie zu beenden.

Häufig gestellte Fragen

  • Worüber muss nicht berichtet werden?

    • Sender Policy Framework (SPF), Konfigurationsvorschläge für DKIM und DMARC
    • Kontaktformulare ohne Begrenzung der Absendungen
    • Offenlegung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt)
    • Offenlegung von Bannern bei allgemeinen/öffentlichen Diensten ohne PoC
    • Konfigurationen von Sicherheits-Headern oder fehlende Header
    • Fehlende „Secure“- und „HTTPOnly“-Flags bei nicht sensiblen Cookies
  • Was machen Sie mit meinen personenbezogenen Daten?

    Auch bei Callebaut legen wir großen Wert auf den Datenschutz. In Übereinstimmung mit Datenschutzstandards wie der DSGVO speichern wir nur die unbedingt notwendigen Daten über Sie, und zwar für einen begrenzten Zeitraum und ausschließlich zum Zweck der Kommunikation mit Ihnen.

    Wenn Sie mit uns kommunizieren, erfassen wir daher Ihren Namen (oder das von Ihnen gewählte Pseudonym) sowie Ihre E-Mail-Adresse.  Dies sind die einzigen personenbezogenen Daten, die wir benötigen. Wir speichern diese Daten so lange, wie wir uns mit Ihrer verantwortungsvollen Meldung befassen. Sobald der Fall abgeschlossen ist, bewahren wir Ihre Daten noch bis zu einem Jahr nach dem Abschlussdatum auf. Danach löschen wir Ihre Daten.

  • Wann werde ich nach meiner Meldung von Ihnen hören?

    Ihre Meldung sollte in der Regel innerhalb von 72 Stunden bestätigt werden. Die Meldung muss anschließend überprüft werden; danach werden wir uns in der Regel innerhalb von 10 Werktagen erneut bei Ihnen melden. Bitte beachten Sie, dass wir auf Meldungen von geringer Qualität möglicherweise nicht antworten können.

  • Stellen Sie Mitarbeiter ein?

    Wir sind ständig auf der Suche nach qualifizierten Sicherheitsexperten! Schauen Sie sich gerne unsere Stellenangebote unter https://jobs.barry-callebaut.com/.

  • Darf ich nach meiner Offenlegung irgendetwas über die Sicherheitslücke veröffentlichen?

    Wir bitten darum, alle Offenlegungen vertraulich zu behandeln, um unsere Gemeinschaft zu schützen. Unter ganz bestimmten Umständen und bei wesentlichen Offenlegungen können wir eine gemeinsame öffentliche Mitteilung in Betracht ziehen. Dies muss jedoch zuvor unter cybersecurity@barry-callebaut.com vereinbart werden.