책임 있는 공개 정책
칼레보(Callebaut)는 소비자와 직원의 개인정보 기밀성을 보호하고 정보 시스템의 가용성을 유지하기 위해 최선을 다하고 있습니다. 본 정책은 보안 연구원들이 취약점 발견 활동을 수행할 때 명확한 지침을 제공하고, 발견된 취약점을 검토를 위해 당사에 제출하는 방법에 대한 당사의 선호 사항을 전달하기 위해 마련되었습니다. 당사 웹사이트 및 시스템의 취약점을 신고하시려면 당사로 연락해 주시기 바랍니다.
보안 연구 과정에서 본 정책을 성실히 준수하려는 노력을 기울이신다면, 당사는 귀하의 연구를 승인된 것으로 간주할 것입니다. 당사는 귀하와 협력하여 보고된 문제를 신속하게 파악하고 해결하기 위해 노력할 것입니다. 칼레보(Callebaut)는 귀하의 연구와 관련하여 법적 조치를 권고하거나 취하지 않을 것입니다.
칼레보(Callebaut)는 버그 바운티 프로그램을 운영하지 않으며, 잠재적인 보안 문제나 취약점을 제보한 대가로 보상이나 대가를 제공하지 않는다는 점을 유의해 주시기 바랍니다.
지침
칼레바우트(Callebaut)는 취약점을 신고하거나 정당한 연구를 수행하는 연구자들을 위해 다음과 같은 지침을 제시합니다. 이 정책에서 “연구”란 다음과 같은 활동을 의미합니다:
- 실제 또는 잠재적인 보안 문제를 발견한 후 가능한 한 빨리 당사에 알립니다.
- 개인정보 침해, 사용자 경험 저하, 운영 시스템 중단, 데이터 파괴 또는 조작을 방지하기 위해 최선을 다해 주십시오
- 취약점의 존재를 확인하는 데 필요한 범위 내에서만 익스플로잇을 사용하십시오
- 취약점을 악용하여 시스템을 침해하거나 데이터를 유출하거나, 지속적인 무단 접근을 구축하거나, 다른 시스템으로 침투하는 데 익스플로잇을 사용해서는 안 됩니다
- 문제를 공개하기 전에 당사가 해당 문제를 해결할 수 있도록 합리적인 시간을 부여해 주십시오
취약점이 존재함을 확인했거나 민감한 데이터(개인 식별 정보, 금융 정보, 또는 당사자의 독점 정보나 영업 비밀 포함)를 발견한 경우, 테스트를 중단하고 즉시 당사에 통보해야 하며, 해당 데이터를 타인에게 공개해서는 안 됩니다.
취약점 신고
취약점을 신고하려면 cybersecurity@barry-callebaut.com 으로 이메일을 보내주십시오. 제보 내용을 선별하고 우선순위를 정할 수 있도록, 다음 정보를 보고서에 포함해 주시기 바랍니다:
- 취약점이나 문제가 발견된 시기
- 취약점이 발견된 시스템 또는 제품에 대한 설명
- 취약점을 재현하는 데 필요한 단계를 설명해 주십시오
- 취약점을 해결하기 위한 개선 제안이나 아이디어가 있다면 기재해 주십시오
- Callebaut는 모든 제보를 영업일 기준 3일 이내에 확인해 드릴 것을 약속하며, 여러분의 참여에 감사드립니다.
범위
이 프로그램의 적용 범위는 회사가 소유하거나 라이선스를 보유한 모든 칼레보(Callebaut) 웹사이트, 인터넷에 노출된 모든 비즈니스 시스템, 그리고 인터넷에 연결된 제품 및 모바일 관련 애플리케이션을 포함합니다. 이 프로그램에서 제외되는 대상은 다음과 같습니다:
- 칼레보(Callebaut) 직원을 대상으로 한 사회 공학 또는 피싱 캠페인
- 칼레보(Callebaut) 웹사이트 또는 비즈니스 애플리케이션을 대상으로 한 서비스 거부(DoS) 공격
- 악의적인 의도를 가진 기타 모든 무단 활동
본 프로그램에 대한 문의 사항이 있거나 취약점을 신고하려면 cybersecurity@barry-callebaut.com 로 칼레보(Callebaut)에 문의해 주십시오.
당사는 언제든지 본 정책의 내용을 변경하거나 정책을 종료할 권리를 보유합니다.
자주 묻는 질문
-
어떤 사항은 보고할 필요가 없나요?
- 발신자 정책 프레임워크(SPF), DKIM 및 DMARC 구성 권장 사항
- 제출 횟수 제한이 없는 문의 양식
- 알려진 공개 파일 또는 디렉터리(예: robots.txt)의 공개
- PoC 없이 일반/공개 서비스에 배너 공개
- 보안 헤더 구성 미비 또는 헤더 누락
- 비기밀 쿠키에 Secure/HTTPOnly 플래그 미설정
-
제 개인정보는 어떻게 처리되나요?
칼레보(Callebaut)는 개인정보 보호를 중요하게 생각하며, GDPR과 같은 데이터 보호 기준을 준수하여 귀하에 대한 정보를 최소한으로, 제한된 기간 동안, 그리고 귀하와의 소통이라는 유일한 목적으로만 보관합니다.
따라서 귀하가 당사와 소통할 때, 당사는 귀하의 이름(또는 귀하가 지정한 가명)과 이메일 주소를 수집합니다. 이것이 당사가 필요로 하는 유일한 개인정보입니다. 당사는 귀하의 책임 있는 정보 공개를 처리하는 동안 이 정보를 보관합니다. 해당 사안이 종결되면, 당사는 종결일로부터 최대 1년 동안 귀하의 데이터를 보관합니다. 그 이후에는 귀하의 데이터를 삭제 합니다.
-
정보를 제공한 후 언제 연락을 받게 되나요?
제보하신 내용은 일반적으로 72시간 이내에 접수 확인을 받으실 수 있습니다. 이후 제보 내용이 검증되면, 대개 영업일 기준 10일 이내에 다시 연락을 드리겠습니다. 품질이 낮은 제보에 대해서는 답변해 드리지 못할 수도 있으니 이 점 유의해 주시기 바랍니다.
-
채용하고 계신가요?
저희는 실력 있는 보안 전문가를 항상 찾고 있습니다! https://jobs.barry-callebaut.com/.
-
취약점을 공개한 후, 이에 관한 내용을 어떤 형태로든 공개해도 되나요?
저희 커뮤니티를 보호하기 위해 모든 공개 정보는 기밀로 유지해 주시기를 부탁드립니다. 매우 특정한 상황에서, 그리고 중대한 공개 사항에 한해, 대중을 대상으로 한 공동 성명을 발표할 수도 있습니다. 단, 이는 반드시 사전에 cybersecurity@barry-callebaut.com에서 합의되어야 합니다.