Polityka odpowiedzialnego ujawniania luk w zabezpieczeniach
Firma Callebaut przywiązuje dużą wagę do ochrony poufności danych osobowych konsumentów i pracowników oraz do zapewnienia dostępności naszych systemów informatycznych. Niniejsza polityka ma na celu przedstawienie badaczom zajmującym się bezpieczeństwem jasnych wytycznych dotyczących wykrywania luk w zabezpieczeniach oraz określenie naszych preferencji co do sposobu zgłaszania nam wykrytych luk w celu ich oceny. Zachęcamy do kontaktowania się z nami w celu zgłaszania luk w zabezpieczeniach naszych stron internetowych i systemów.
Jeśli podczas prowadzenia badań dotyczących bezpieczeństwa podejmiesz działania w dobrej wierze, aby przestrzegać niniejszych zasad, uznamy Twoje badania za autoryzowane. Będziemy współpracować z Tobą, aby szybko zrozumieć i rozwiązać zgłoszone problemy. Firma Callebaut nie będzie zalecać ani podejmować działań prawnych związanych z Twoimi badaniami.
Należy pamiętać, że firma Callebaut nie prowadzi programu nagród za wykrycie błędów i nie oferuje żadnych nagród ani wynagrodzenia w zamian za zgłaszanie potencjalnych zagrożeń bezpieczeństwa lub luk w zabezpieczeniach.
Wytyczne
Firma Callebaut przedstawia poniższe wytyczne dla badaczy, którzy mogą zgłaszać luki w zabezpieczeniach lub prowadzić uzasadnione badania. W ramach niniejszej polityki termin „badania” oznacza działania, w ramach których:
- Powiadamiają nas Państwo jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu związanego z bezpieczeństwem
- Należy dołożyć wszelkich starań, aby uniknąć naruszenia prywatności, pogorszenia komfortu użytkowania, zakłóceń w działaniu systemów produkcyjnych oraz zniszczenia lub manipulacji danymi
- Wykorzystuj luki w zabezpieczeniach wyłącznie w zakresie niezbędnym do potwierdzenia istnienia luki
- Nie należy wykorzystywać exploita w celu przejęcia kontroli nad systemem lub wykradzenia danych, uzyskania stałego nieuprawnionego dostępu ani wykorzystania go do przejścia do innych systemów
- Przed publicznym ujawnieniem luki zapewnij nam rozsądny czas na jej usunięcie
Po stwierdzeniu istnienia luki w zabezpieczeniach lub napotkaniu jakichkolwiek danych wrażliwych (w tym danych osobowych, informacji finansowych, informacji zastrzeżonych lub tajemnic handlowych jakiejkolwiek strony) należy przerwać test, niezwłocznie nas powiadomić i nie ujawniać tych danych nikomu innemu.
Zgłaszanie luki w zabezpieczeniach
Aby zgłosić lukę w zabezpieczeniach, prosimy o wysłanie wiadomości e-mail na adres cybersecurity@barry-callebaut.com . Aby pomóc nam w klasyfikacji i ustaleniu priorytetów zgłoszeń, zalecamy, aby zgłoszenie zawierało:
- Kiedy wykryto lukę lub problem
- Opis systemu lub produktu, w którym wykryto lukę
- Opisz kroki niezbędne do odtworzenia luki
- Wszelkie sugestie lub pomysły dotyczące usunięcia luki
- Firma Callebaut zobowiązuje się do potwierdzenia otrzymania wszystkich zgłoszeń w ciągu 3 dni roboczych i docenia Państwa udział.
Zakres
Zakres niniejszego programu obejmuje wszystkie strony internetowe firmy Callebaut, będące jej własnością lub na które posiada ona licencję; wszystkie systemy biznesowe połączone z Internetem; oraz produkty podłączone do Internetu i aplikacje mobilne. Program nie obejmuje:
- kampanii socjotechnicznych ani phishingowych skierowanych do pracowników firmy Callebaut
- Ataki typu „odmowa usługi” (DoS) na strony internetowe lub aplikacje biznesowe firmy Callebaut
- Wszelkie inne nieuprawnione działania podejmowane w złych zamiarach
W razie pytań dotyczących niniejszego programu lub w celu zgłoszenia luki w zabezpieczeniach prosimy o kontakt z firmą Callebaut pod adresem cybersecurity@barry-callebaut.com &
Zastrzegamy sobie prawo do zmiany treści niniejszej Polityki w dowolnym momencie lub do jej wycofania.
Najczęściej zadawane pytania
-
O czym nie trzeba składać sprawozdania?
- Sender Policy Framework (SPF), propozycje konfiguracji DKIM i DMARC
- Formularze kontaktowe bez ograniczeń dotyczących liczby wysyłanych zgłoszeń
- Ujawnianie znanych plików lub katalogów publicznych (np. robots.txt)
- Ujawnienie banera w popularnych/publicznych serwisach bez dowodu wykonalności (PoC)
- Konfiguracje nagłówków bezpieczeństwa lub brakujące nagłówki
- Brak flag Secure/HTTPOnly w plikach cookie o charakterze niepoufnym
-
Co robicie z moimi danymi osobowymi?
W firmie Callebaut przywiązujemy również dużą wagę do prywatności – zgodnie z normami ochrony danych, takimi jak RODO, przechowujemy minimalną ilość informacji o Tobie, przez ograniczony czas i wyłącznie w celu komunikacji z Tobą.
W związku z tym, gdy kontaktujesz się z nami, gromadzimy Twoje imię i nazwisko (lub podany pseudonim) oraz adres e-mail. Są to jedyne dane osobowe, których potrzebujemy. Przechowujemy te informacje tak długo, jak długo zajmujemy się zgłoszeniem w ramach odpowiedzialnego ujawniania luk w zabezpieczeniach. Po zamknięciu sprawy będziemy przechowywać Państwa dane przez okres do 1 roku od daty zamknięcia. Następnie Państwa dane zostaną usunięte.
-
Kiedy otrzymam od Państwa odpowiedź po zgłoszeniu?
Twoje zgłoszenie powinno zostać potwierdzone w odpowiednim terminie, zazwyczaj w ciągu 72 godzin. Następnie zgłoszenie będzie musiało zostać zweryfikowane, po czym skontaktujemy się z Tobą ponownie, zazwyczaj w ciągu 10 dni roboczych. Pamiętaj, że możemy nie być w stanie odpowiedzieć na zgłoszenia o niskiej jakości.
-
Czy prowadzicie rekrutację?
Nieustannie poszukujemy wykwalifikowanych specjalistów ds. bezpieczeństwa! Zapraszamy do zapoznania się z naszymi ofertami pracy pod adresem https://jobs.barry-callebaut.com/.
-
Czy po ujawnieniu tej luki mogę opublikować jakiekolwiek informacje na jej temat?
Prosimy o zachowanie poufności wszystkich ujawnionych informacji w celu ochrony naszej społeczności. W ściśle określonych okolicznościach oraz w przypadku ujawnienia informacji o istotnym znaczeniu możemy rozważyć publiczne oświadczenie. Należy to jednak wcześniej uzgodnić pod adresem cybersecurity@barry-callebaut.com.