責任ある情報開示方針

カレボーは、消費者および従業員の個人情報の機密性保護、ならびに当社情報システムの可用性の確保に尽力しています。本ポリシーは、セキュリティ研究者に対し、脆弱性の発見活動を行う際の明確な指針を提供するとともに、発見された脆弱性を当社に報告して審査を受ける際の当社の希望する方法を伝えることを目的としています。当社のウェブサイトやシステムにおける脆弱性を報告される際は、ぜひ当社までご連絡ください。

セキュリティ調査の実施にあたり、本ポリシーを遵守するために誠意をもって努力された場合、当社は当該調査を承認されたものとみなします。当社は、報告された問題について迅速に把握し、解決するために、皆様と協力してまいります。カレボーは、皆様の調査に関連して法的措置を推奨したり、講じたりすることはありません。

なお、カレボーはバグ報奨金プログラムを実施しておらず、潜在的なセキュリティ上の懸念や脆弱性の報告に対して、報酬や補償を提供することはありませんので、あらかじめご了承ください。

ガイドライン

カレボー社は、脆弱性を報告したり、正当な研究を行ったりする可能性のある研究者に対して、以下のガイドラインを提示しています。 本ポリシーにおいて、「研究」とは、以下の活動を行うことを指します:

  • 実際の、または潜在的なセキュリティ上の問題を発見したら、できるだけ早く当社に通知すること
  • プライバシーの侵害、ユーザー体験の低下、本番システムの混乱、およびデータの破壊や改ざんを避けるよう最大限の努力をしてください
  • エクスプロイトは、脆弱性の存在を確認するために必要な範囲でのみ使用すること
  • エクスプロイトを使用して、システムを侵害したりデータを流出させたり、持続的な不正アクセスを確立したり、他のシステムへ攻撃を拡大したりしてはなりません
  • 問題を公に開示する前に、当社が問題を解決するための妥当な期間を与えてください

 

脆弱性の存在を確認した場合、または機密データ(個人を特定できる情報、財務情報、あるいはいかなる当事者の専有情報や営業秘密を含む)に遭遇した場合は、テストを中止し、直ちに当社に通知するとともに、当該データを第三者に開示してはなりません。

脆弱性の報告

脆弱性を報告するには、cybersecurity@barry-callebaut.com までメールでお知らせください。 報告内容の選別と優先順位付けを円滑に行うため、報告には以下の情報を記載することをお勧めします:

  • 脆弱性または問題が特定された時期
  • 脆弱性が発見されたシステムまたは製品の説明
  • 脆弱性を再現するために必要な手順を説明してください
  • 脆弱性に対処するための修正案やアイデアがあれば記載してください
  • Callebautは、すべての報告に対し3営業日以内に確認の連絡を行うことをお約束し、皆様のご協力に感謝いたします。

適用範囲

本プログラムの対象範囲には、同社が所有またはライセンスを保有するすべてのカレボー(Callebaut)ウェブサイト、インターネットに公開されているすべての業務システム、およびインターネットに接続された製品やモバイル関連アプリケーションが含まれます。 本プログラムの対象外となるものは以下の通りです:

  • カレボー従業員を標的としたソーシャルエンジニアリングやフィッシング攻撃
  • カレボー社のウェブサイトまたは業務用アプリケーションに対するサービス拒否(DoS)攻撃
  • 悪意を目的としたその他の不正行為

本プログラムに関するご質問や脆弱性の報告については、cybersecurity@barry-callebaut.com まで、カレボーまでご連絡ください。

当社は、本ポリシーの内容をいつでも変更したり、本ポリシーを終了したりする権利を留保します。

よくある質問

  • 報告する必要のない事項とは何ですか?

    • Sender Policy Framework (SPF)、 DKIMおよびDMARCの設定に関する推奨事項
    • 送信回数に制限のないお問い合わせフォーム
    • 既知の公開ファイルやディレクトリ(例:robots.txt)の開示
    • PoC を伴わない、一般的なサービスや公開サービスにおけるバナーの開示
    • セキュリティヘッダーの設定、またはヘッダーの欠落
    • 機密性のないクッキーにおける Secure/HTTPOnly フラグの欠如
  • 私の個人データはどのように扱われていますか?

    カレボーではプライバシーも重視しており、GDPRなどのデータ保護基準に従い、お客様に関する情報は必要最小限に留め、限られた期間のみ、かつお客様との連絡という唯一の目的のためにのみ保持しています。

    そのため、お客様からご連絡をいただいた際、当社はお客様の氏名(またはご指定の仮名)およびメールアドレスを収集いたします。  これらが、当社が必要とする唯一の個人情報です。当社は、お客様の責任ある情報開示に関する対応を行っている間、この情報を保持します。案件が終了した後、終了日から最大1年間、お客様のデータを保持します。その後、お客様のデータを削除いたします。

  • 開示を行った後、いつご連絡をいただけますか?

    ご報告いただいた内容については、通常72時間以内に受領確認の連絡を差し上げます。その後、報告内容の検証が行われ、通常10営業日以内に改めてご連絡いたします。なお、質の低い報告については、お返事できない場合があることをご了承ください。

  • 採用は行っていますか?

    当社は、熟練したセキュリティ専門家を常に募集しています!ぜひ、https://jobs.barry-callebaut.com/

  • この脆弱性について、開示後に何か情報を公開してもいいですか?

    コミュニティを守るため、すべての情報開示については機密保持をお願いいたします。ごく限られた状況下において、かつ重大な情報開示に関しては、一般向けの公表を行う可能性があります。 ただし、その場合は事前に cybersecurity@barry-callebaut.comにて合意を得る必要があります。