Polityka odpowiedzialnego ujawniania luk w zabezpieczeniach

Firma Callebaut przywiązuje dużą wagę do ochrony poufności danych osobowych konsumentów i pracowników oraz do zapewnienia dostępności naszych systemów informatycznych. Niniejsza polityka ma na celu przedstawienie badaczom zajmującym się bezpieczeństwem jasnych wytycznych dotyczących wykrywania luk w zabezpieczeniach oraz określenie naszych preferencji co do sposobu zgłaszania nam wykrytych luk w celu ich oceny. Zachęcamy do kontaktowania się z nami w celu zgłaszania luk w zabezpieczeniach naszych stron internetowych i systemów.

Jeśli podczas prowadzenia badań dotyczących bezpieczeństwa podejmiesz działania w dobrej wierze, aby przestrzegać niniejszych zasad, uznamy Twoje badania za autoryzowane. Będziemy współpracować z Tobą, aby szybko zrozumieć i rozwiązać zgłoszone problemy. Firma Callebaut nie będzie zalecać ani podejmować działań prawnych związanych z Twoimi badaniami.

Należy pamiętać, że firma Callebaut nie prowadzi programu nagród za wykrycie błędów i nie oferuje żadnych nagród ani wynagrodzenia w zamian za zgłaszanie potencjalnych zagrożeń bezpieczeństwa lub luk w zabezpieczeniach.

Wytyczne

Firma Callebaut przedstawia poniższe wytyczne dla badaczy, którzy mogą zgłaszać luki w zabezpieczeniach lub prowadzić uzasadnione badania. W ramach niniejszej polityki termin „badania” oznacza działania, w ramach których:

  • Powiadamiają nas Państwo jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu związanego z bezpieczeństwem
  • Należy dołożyć wszelkich starań, aby uniknąć naruszenia prywatności, pogorszenia komfortu użytkowania, zakłóceń w działaniu systemów produkcyjnych oraz zniszczenia lub manipulacji danymi
  • Wykorzystuj luki w zabezpieczeniach wyłącznie w zakresie niezbędnym do potwierdzenia istnienia luki
  • Nie należy wykorzystywać exploita w celu przejęcia kontroli nad systemem lub wykradzenia danych, uzyskania stałego nieuprawnionego dostępu ani wykorzystania go do przejścia do innych systemów
  • Przed publicznym ujawnieniem luki zapewnij nam rozsądny czas na jej usunięcie

 

Po stwierdzeniu istnienia luki w zabezpieczeniach lub napotkaniu jakichkolwiek danych wrażliwych (w tym danych osobowych, informacji finansowych, informacji zastrzeżonych lub tajemnic handlowych jakiejkolwiek strony) należy przerwać test, niezwłocznie nas powiadomić i nie ujawniać tych danych nikomu innemu.

Zgłaszanie luki w zabezpieczeniach

Aby zgłosić lukę w zabezpieczeniach, prosimy o wysłanie wiadomości e-mail na adres cybersecurity@barry-callebaut.com . Aby pomóc nam w klasyfikacji i ustaleniu priorytetów zgłoszeń, zalecamy, aby zgłoszenie zawierało:

  • Kiedy wykryto lukę lub problem
  • Opis systemu lub produktu, w którym wykryto lukę
  • Opisz kroki niezbędne do odtworzenia luki
  • Wszelkie sugestie lub pomysły dotyczące usunięcia luki
  • Firma Callebaut zobowiązuje się do potwierdzenia otrzymania wszystkich zgłoszeń w ciągu 3 dni roboczych i docenia Państwa udział.

Zakres

Zakres niniejszego programu obejmuje wszystkie strony internetowe firmy Callebaut, będące jej własnością lub na które posiada ona licencję; wszystkie systemy biznesowe połączone z Internetem; oraz produkty podłączone do Internetu i aplikacje mobilne. Program nie obejmuje:

  • kampanii socjotechnicznych ani phishingowych skierowanych do pracowników firmy Callebaut
  • Ataki typu „odmowa usługi” (DoS) na strony internetowe lub aplikacje biznesowe firmy Callebaut
  • Wszelkie inne nieuprawnione działania podejmowane w złych zamiarach

W razie pytań dotyczących niniejszego programu lub w celu zgłoszenia luki w zabezpieczeniach prosimy o kontakt z firmą Callebaut pod adresem cybersecurity@barry-callebaut.com                                                &

Zastrzegamy sobie prawo do zmiany treści niniejszej Polityki w dowolnym momencie lub do jej wycofania.

Najczęściej zadawane pytania

  • O czym nie trzeba składać sprawozdania?

    • Sender Policy Framework (SPF), propozycje konfiguracji DKIM i DMARC
    • Formularze kontaktowe bez ograniczeń dotyczących liczby wysyłanych zgłoszeń
    • Ujawnianie znanych plików lub katalogów publicznych (np. robots.txt)
    • Ujawnienie banera w popularnych/publicznych serwisach bez dowodu wykonalności (PoC)
    • Konfiguracje nagłówków bezpieczeństwa lub brakujące nagłówki
    • Brak flag Secure/HTTPOnly w plikach cookie o charakterze niepoufnym
  • Co robicie z moimi danymi osobowymi?

    W firmie Callebaut przywiązujemy również dużą wagę do prywatności – zgodnie z normami ochrony danych, takimi jak RODO, przechowujemy minimalną ilość informacji o Tobie, przez ograniczony czas i wyłącznie w celu komunikacji z Tobą.

    W związku z tym, gdy kontaktujesz się z nami, gromadzimy Twoje imię i nazwisko (lub podany pseudonim) oraz adres e-mail.  Są to jedyne dane osobowe, których potrzebujemy. Przechowujemy te informacje tak długo, jak długo zajmujemy się zgłoszeniem w ramach odpowiedzialnego ujawniania luk w zabezpieczeniach. Po zamknięciu sprawy będziemy przechowywać Państwa dane przez okres do 1 roku od daty zamknięcia. Następnie Państwa dane zostaną usunięte.

  • Kiedy otrzymam od Państwa odpowiedź po zgłoszeniu?

    Twoje zgłoszenie powinno zostać potwierdzone w odpowiednim terminie, zazwyczaj w ciągu 72 godzin. Następnie zgłoszenie będzie musiało zostać zweryfikowane, po czym skontaktujemy się z Tobą ponownie, zazwyczaj w ciągu 10 dni roboczych. Pamiętaj, że możemy nie być w stanie odpowiedzieć na zgłoszenia o niskiej jakości.

  • Czy prowadzicie rekrutację?

    Nieustannie poszukujemy wykwalifikowanych specjalistów ds. bezpieczeństwa! Zapraszamy do zapoznania się z naszymi ofertami pracy pod adresem https://jobs.barry-callebaut.com/.

  • Czy po ujawnieniu tej luki mogę opublikować jakiekolwiek informacje na jej temat?

    Prosimy o zachowanie poufności wszystkich ujawnionych informacji w celu ochrony naszej społeczności. W ściśle określonych okolicznościach oraz w przypadku ujawnienia informacji o istotnym znaczeniu możemy rozważyć publiczne oświadczenie. Należy to jednak wcześniej uzgodnić pod adresem cybersecurity@barry-callebaut.com.