Política de divulgación responsable

Callebaut se compromete a proteger la confidencialidad de los datos personales de los consumidores y empleados, así como la disponibilidad de nuestros sistemas de información. El objetivo de esta política es ofrecer a los investigadores de seguridad unas directrices claras para llevar a cabo actividades de detección de vulnerabilidades y comunicar nuestras preferencias sobre cómo enviarnos las vulnerabilidades detectadas para su revisión. Le animamos a que se ponga en contacto con nosotros para informar de vulnerabilidades en nuestros sitios web y sistemas.

Si te esfuerzas de buena fe por cumplir con esta política durante tu investigación de seguridad, consideraremos que tu investigación está autorizada. Colaboraremos contigo para comprender y resolver rápidamente los problemas notificados. Callebaut no recomendará ni emprenderá acciones legales relacionadas con tu investigación.

Ten en cuenta que Callebaut no cuenta con un programa de recompensas por la detección de fallos y no ofrece ninguna recompensa ni compensación a cambio de la notificación de posibles problemas de seguridad o vulnerabilidades.

Directrices

Callebaut propone las siguientes directrices para los investigadores que deseen informar de una vulnerabilidad o llevar a cabo una investigación legítima. En el marco de esta política, se entiende por «investigación» aquellas actividades en las que:

  • Nos notifique lo antes posible tras descubrir un problema de seguridad real o potencial
  • Haga todo lo posible por evitar violaciones de la privacidad, el deterioro de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos
  • Utilice los exploits únicamente en la medida necesaria para confirmar la presencia de una vulnerabilidad
  • No utilice un exploit para comprometer o sustraer datos, establecer un acceso no autorizado persistente ni utilizar el exploit para acceder a otros sistemas
  • Conceda un plazo razonable para que podamos resolver el problema antes de hacerlo público

 

Una vez que haya comprobado que existe una vulnerabilidad o haya encontrado datos confidenciales (incluida información de identificación personal, información financiera, información privada o secretos comerciales de cualquier parte), deberá detener su prueba, notificárnoslo inmediatamente y no revelar estos datos a nadie más.

Notificación de una vulnerabilidad

Envía un correo electrónico a cybersecurity@barry-callebaut.com para informar de una vulnerabilidad. Para ayudarnos a clasificar y priorizar las notificaciones, te recomendamos que tu informe incluya:

  • Cuándo se identificó la vulnerabilidad o el problema
  • Describa el sistema o producto en el que se descubrió la vulnerabilidad
  • Describa los pasos necesarios para reproducir la vulnerabilidad
  • Cualquier sugerencia o idea para solucionar la vulnerabilidad
  • Callebaut se compromete a acusar recibo de todas las notificaciones en un plazo de 3 días laborables y agradece su participación.

Ámbito de aplicación

El ámbito de aplicación de este programa abarca todos los sitios web de Callebaut que sean propiedad de la empresa o para los que esta tenga licencia; todos los sistemas empresariales conectados a Internet; y los productos conectados a Internet y las aplicaciones asociadas a dispositivos móviles. El programa no incluye:

  • Campañas de ingeniería social o de phishing dirigidas a los empleados de Callebaut
  • Ataques de denegación de servicio (DoS) contra los sitios web o las aplicaciones empresariales de Callebaut
  • Cualquier otra actividad no autorizada con fines maliciosos

Póngase en contacto con Callebaut en cybersecurity@barry-callebaut.com si tiene alguna pregunta sobre este programa o para informar de una vulnerabilidad.

Nos reservamos el derecho a modificar el contenido de esta Política en cualquier momento o a rescindirla.

Preguntas frecuentes

  • ¿Sobre qué no es necesario informar?

    • Marco de políticas de remitentes (SPF), sugerencias de configuración de DKIM y DMARC
    • Formularios de contacto sin límite de envíos
    • Divulgación de archivos o directorios públicos conocidos (p. ej., robots.txt)
    • Divulgación de banners en servicios comunes o públicos sin una prueba de concepto (PoC)
    • Configuraciones de encabezados de seguridad o encabezados ausentes
    • Ausencia de los indicadores «Secure» o «HTTPOnly» en cookies no confidenciales
  • ¿Qué hacéis con mis datos personales?

    En Callebaut también valoramos la privacidad; de acuerdo con las normas de protección de datos, como el RGPD, conservamos la mínima cantidad de información sobre ti, durante un tiempo limitado y con el único fin de comunicarnos contigo.

    Por lo tanto, cuando te comunicas con nosotros, recopilamos tu nombre (o el seudónimo que hayas elegido) y tu dirección de correo electrónico.  Estos son los únicos datos personales que necesitamos. Conservamos esta información mientras gestionamos tu notificación responsable. Una vez cerrado el caso, conservaremos tus datos durante un máximo de 1 año a partir de la fecha de cierre. Transcurrido ese plazo, eliminaremos tus datos.

  • ¿Cuándo recibiré noticias vuestras tras haber presentado una notificación?

    Su notificación debería ser confirmada en su debido momento, normalmente en un plazo de 72 horas. A continuación, será necesario validar la información facilitada, tras lo cual nos pondremos en contacto con usted de nuevo, por lo general en un plazo de 10 días laborables. Tenga en cuenta que es posible que no podamos responder a las notificaciones de baja calidad.

  • ¿Contratáis personal?

    ¡Buscamos constantemente profesionales cualificados en el ámbito de la seguridad! No dudes en consultar nuestras ofertas de empleo en https://jobs.barry-callebaut.com/.

  • ¿Puedo publicar algo sobre la vulnerabilidad tras haberla dado a conocer?

    Pedimos que todas las revelaciones se mantengan confidenciales para proteger a nuestra comunidad. En circunstancias muy concretas, y en lo que respecta a revelaciones de gran importancia, podemos prever una comunicación pública general. No obstante, esto deberá acordarse previamente en cybersecurity@barry-callebaut.com.