Beleid inzake verantwoorde melding van kwetsbaarheden

Callebaut zet zich in voor de bescherming van de vertrouwelijkheid van de persoonsgegevens van consumenten en medewerkers en voor de beschikbaarheid van onze informatiesystemen. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het opsporen van kwetsbaarheden en om onze voorkeuren kenbaar te maken met betrekking tot de wijze waarop ontdekte kwetsbaarheden ter beoordeling aan ons kunnen worden gemeld. Wij moedigen u aan contact met ons op te nemen om kwetsbaarheden in onze websites en systemen te melden.

Als u zich tijdens uw beveiligingsonderzoek te goeder trouw inspant om dit beleid na te leven, beschouwen wij uw onderzoek als geautoriseerd. Wij zullen met u samenwerken om gemelde problemen snel te begrijpen en op te lossen. Callebaut zal geen juridische stappen aanbevelen of ondernemen in verband met uw onderzoek.

Houd er rekening mee dat Callebaut geen bug bounty-programma heeft en geen beloning of vergoeding aanbiedt in ruil voor het melden van mogelijke beveiligingsproblemen of kwetsbaarheden.

Richtlijnen

Callebaut stelt de volgende richtlijnen voor aan onderzoekers die een kwetsbaarheid willen melden of legitiem onderzoek willen verrichten. In het kader van dit beleid wordt onder „onderzoek“ verstaan: activiteiten waarbij u:

  • ons zo snel mogelijk op de hoogte stelt nadat u een daadwerkelijk of potentieel beveiligingsprobleem hebt ontdekt
  • Doe er alles aan om inbreuken op de privacy, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen
  • Gebruik exploits alleen voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen
  • Gebruik een exploit niet om gegevens te compromitteren of te exfiltreren, om blijvende ongeoorloofde toegang te verkrijgen of om via de exploit door te dringen naar andere systemen
  • Geef ons voldoende tijd om het probleem op te lossen voordat u het openbaar maakt

 

Zodra u hebt vastgesteld dat er een kwetsbaarheid bestaat of u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of bedrijfsgeheimen van welke partij dan ook), moet u uw test stopzetten, ons onmiddellijk op de hoogte stellen en deze gegevens aan niemand anders bekendmaken.

Een kwetsbaarheid melden

Stuur een e-mail naar cybersecurity@barry-callebaut.com om een kwetsbaarheid te melden. Om ons te helpen bij het beoordelen en prioriteren van meldingen, raden we u aan het volgende in uw rapport op te nemen:

  • Wanneer de kwetsbaarheid of het probleem is vastgesteld
  • Beschrijf het systeem of product waarin de kwetsbaarheid is ontdekt
  • Beschrijf de stappen die nodig zijn om de kwetsbaarheid te reproduceren
  • Eventuele suggesties of ideeën voor het verhelpen van de kwetsbaarheid
  • Callebaut verbindt zich ertoe alle meldingen binnen 3 werkdagen te bevestigen en stelt uw medewerking zeer op prijs.

Toepassingsgebied

Dit programma heeft betrekking op alle websites van Callebaut die eigendom zijn van of in licentie zijn gegeven door het bedrijf; alle bedrijfssystemen die toegang hebben tot het internet; en producten die verbonden zijn met het internet en bijbehorende mobiele applicaties. Het programma omvat niet:

  • Social engineering- of phishingcampagnes gericht op medewerkers van Callebaut
  • Denial-of-Service (DoS)-aanvallen op websites of bedrijfsapplicaties van Callebaut
  • Alle andere ongeoorloofde activiteiten met kwaadwillige bedoelingen

Neem contact op met Callebaut via cybersecurity@barry-callebaut.com als u vragen hebt over dit programma of een kwetsbaarheid wilt melden.

Wij behouden ons het recht voor om de inhoud van dit beleid op elk moment te wijzigen of het beleid te beëindigen.

Veelgestelde vragen

  • Waarover hoeft niet te worden gerapporteerd?

    • Sender Policy Framework (SPF), configuratiesuggesties voor DKIM en DMARC
    • Contactformulieren zonder beperking op het aantal verzendingen
    • Openbaarmaking van bekende openbare bestanden of mappen (bijv. robots.txt)
    • Openbaarmaking van banners op algemene/openbare diensten zonder PoC
    • Configuraties van beveiligingsheaders of ontbrekende headers
    • Ontbrekende Secure/HTTPOnly-vlaggen bij niet-gevoelige cookies
  • Wat doen jullie met mijn persoonsgegevens?

    Bij Callebaut hechten we ook veel waarde aan privacy. In overeenstemming met gegevensbeschermingsnormen zoals de AVG bewaren we zo min mogelijk informatie over u, voor een beperkte tijd en uitsluitend met het oog op de communicatie met u.

    Wanneer u met ons communiceert, verzamelen we daarom uw naam (of het door u gekozen pseudoniem) en uw e-mailadres.  Dit zijn de enige persoonsgegevens die we nodig hebben. We bewaren deze gegevens zolang we uw verantwoordelijke melding in behandeling hebben. Zodra de zaak is afgesloten, bewaren we uw gegevens nog maximaal 1 jaar na de afsluitingsdatum. Daarna verwijderen we uw gegevens.

  • Wanneer krijg ik bericht van jullie nadat ik een melding heb gedaan?

    Uw melding wordt normaal gesproken binnen 72 uur bevestigd. De melding moet vervolgens worden geverifieerd, waarna er doorgaans binnen 10 werkdagen opnieuw contact met u wordt opgenomen. Houd er rekening mee dat we mogelijk niet kunnen reageren op meldingen van slechte kwaliteit.

  • Mag ik na mijn melding nog iets over het beveiligingslek publiceren?

    Wij verzoeken u alle openbaarmakingen vertrouwelijk te behandelen om onze gemeenschap te beschermen. Onder zeer specifieke omstandigheden, en met betrekking tot belangrijke openbaarmakingen, kunnen wij een algemene openbare mededeling overwegen. Hierover moet echter vooraf overeenstemming worden bereikt via cybersecurity@barry-callebaut.com.