Politica di divulgazione responsabile
Callebaut si impegna a tutelare la riservatezza dei dati personali dei consumatori e dei dipendenti, nonché la disponibilità dei propri sistemi informativi. La presente politica ha lo scopo di fornire ai ricercatori nel campo della sicurezza linee guida chiare per lo svolgimento delle attività di individuazione delle vulnerabilità e di illustrare le nostre preferenze riguardo alle modalità di segnalazione delle vulnerabilità individuate ai fini della nostra valutazione. Vi invitiamo a contattarci per segnalare eventuali vulnerabilità presenti nei nostri siti web e nei nostri sistemi.
Se durante la vostra ricerca sulla sicurezza vi impegnerete in buona fede a rispettare la presente politica, considereremo la vostra ricerca come autorizzata. Collaboreremo con voi per comprendere e risolvere rapidamente i problemi segnalati. Callebaut non raccomanderà né intraprenderà azioni legali in relazione alla vostra ricerca.
Si prega di notare che Callebaut non gestisce un programma di bug bounty e non offre ricompense o compensi in cambio della segnalazione di potenziali problemi di sicurezza o vulnerabilità.
Linee guida
Callebaut suggerisce le seguenti linee guida per i ricercatori che intendono segnalare una vulnerabilità o condurre ricerche legittime. Ai sensi della presente politica, per «ricerca» si intendono le attività in cui:
- Ci informino il prima possibile dopo aver individuato un problema di sicurezza reale o potenziale
- Fate tutto il possibile per evitare violazioni della privacy, il deterioramento dell’esperienza utente, l’interruzione dei sistemi di produzione e la distruzione o la manipolazione dei dati
- Utilizzare gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità
- Non utilizzare un exploit per compromettere o sottrarre dati, stabilire un accesso non autorizzato persistente o utilizzare l’exploit per espandersi ad altri sistemi
- Concedeteci un lasso di tempo ragionevole per risolvere il problema prima di renderlo pubblico
Una volta accertata l’esistenza di una vulnerabilità o individuati dati sensibili (comprese informazioni di identificazione personale, informazioni finanziarie, informazioni riservate o segreti commerciali di qualsiasi parte), è necessario interrompere il test, informarci immediatamente e non divulgare tali dati a nessun altro.
Segnalazione di una vulnerabilità
Per segnalare una vulnerabilità, invia un'e-mail a cybersecurity@barry-callebaut.com . Per aiutarci a valutare e classificare per priorità le segnalazioni, ti consigliamo di includere nella tua segnalazione:
- Quando è stata individuata la vulnerabilità o il problema
- Descrivere il sistema o il prodotto in cui è stata rilevata la vulnerabilità
- Descrivere i passaggi necessari per riprodurre la vulnerabilità
- Eventuali suggerimenti o idee per risolvere la vulnerabilità
- Callebaut si impegna a confermare la ricezione di tutte le segnalazioni entro 3 giorni lavorativi e apprezza la vostra partecipazione.
Ambito di applicazione
L'ambito di applicazione del presente programma comprende tutti i siti web Callebaut di proprietà dell'azienda o concessi in licenza da essa; tutti i sistemi aziendali accessibili via Internet; nonché i prodotti connessi a Internet e le applicazioni associate ai dispositivi mobili. Il programma non include:
- Campagne di ingegneria sociale o di phishing rivolte ai dipendenti di Callebaut
- Attacchi Denial of Service (DoS) contro i siti web o le applicazioni aziendali di Callebaut
- Qualsiasi altra attività non autorizzata a scopo doloso
Si prega di contattare Callebaut all’indirizzo cybersecurity@barry-callebaut.com per domande relative a questo programma o per segnalare una vulnerabilità.
Ci riserviamo il diritto di modificare il contenuto della presente Informativa in qualsiasi momento o di revocarla.
Domande frequenti
-
Di cosa non è necessario riferire?
- Sender Policy Framework (SPF), suggerimenti per la configurazione di DKIM e DMARC
- Moduli di contatto senza limiti di invio
- Divulgazione di file o directory pubblici noti (ad es. robots.txt)
- Divulgazione di banner su servizi comuni/pubblici senza PoC
- Configurazioni delle intestazioni di sicurezza o intestazioni mancanti
- Mancanza dei flag Secure/HTTPOnly sui cookie non sensibili
-
Come vengono trattati i miei dati personali?
Anche noi di Callebaut attribuiamo grande importanza alla privacy: in conformità con le norme sulla protezione dei dati, come il GDPR, conserviamo solo il minimo indispensabile di informazioni che ti riguardano, per un periodo di tempo limitato e al solo scopo di comunicare con te.
Pertanto, quando comunichi con noi, raccogliamo il tuo nome (o lo pseudonimo che hai scelto) e il tuo indirizzo e-mail. Queste sono le uniche informazioni personali di cui abbiamo bisogno. Conserviamo tali informazioni per tutta la durata della gestione della tua segnalazione responsabile. Una volta chiuso il caso, conserveremo i tuoi dati per un massimo di 1 anno dalla data di chiusura. Trascorso tale periodo, provvederemo a cancellare i tuoi dati.
-
Quando riceverò una risposta da voi dopo aver effettuato una segnalazione?
La tua segnalazione dovrebbe ricevere conferma a tempo debito, di norma entro 72 ore. La segnalazione dovrà poi essere verificata, dopodiché sarai ricontattato, solitamente entro 10 giorni lavorativi. Ti preghiamo di tenere presente che potremmo non essere in grado di rispondere alle segnalazioni di scarsa qualità.
-
Assumete personale?
Siamo costantemente alla ricerca di professionisti qualificati nel settore della sicurezza! Non esitate a consultare le nostre offerte di lavoro all'indirizzo https://jobs.barry-callebaut.com/.
-
Posso pubblicare qualcosa riguardo alla vulnerabilità dopo averla segnalata?
Chiediamo che tutte le segnalazioni rimangano riservate per proteggere la nostra comunità. In circostanze molto specifiche, e per quanto riguarda le segnalazioni di grave entità, possiamo prevedere una comunicazione pubblica. Tuttavia, ciò deve essere concordato preventivamente all’indirizzo cybersecurity@barry-callebaut.com.