Política de Divulgação Responsável
A Callebaut está empenhada em proteger a confidencialidade dos dados pessoais dos consumidores e dos colaboradores, bem como a disponibilidade dos nossos sistemas de informação. Esta política tem como objetivo fornecer aos investigadores de segurança orientações claras para a realização de atividades de deteção de vulnerabilidades e comunicar as nossas preferências quanto à forma de nos comunicar as vulnerabilidades detetadas para análise. Encorajamo-lo a contactar-nos para comunicar vulnerabilidades nos nossos sítios Web e sistemas.
Se envidar esforços de boa-fé para cumprir esta política durante a sua investigação de segurança, consideraremos a sua investigação como autorizada. Colaboraremos consigo para compreender e resolver rapidamente os problemas comunicados. A Callebaut não recomendará nem intentará qualquer ação judicial relacionada com a sua investigação.
Tenha em atenção que a Callebaut não dispõe de um programa de recompensas por descoberta de falhas e não oferece qualquer recompensa ou compensação em troca da comunicação de potenciais problemas de segurança ou vulnerabilidades.
Orientações
A Callebaut sugere as seguintes orientações para investigadores que pretendam comunicar uma vulnerabilidade ou realizar investigação legítima. Ao abrigo desta política, «investigação» significa atividades nas quais:
- Nos notifique o mais rapidamente possível após descobrir um problema de segurança real ou potencial
- Envidem todos os esforços para evitar violações de privacidade, degradação da experiência do utilizador, perturbações nos sistemas de produção e destruição ou manipulação de dados
- Utilize exploits apenas na medida do necessário para confirmar a existência de uma vulnerabilidade
- Não utilize uma exploração para comprometer ou extrair dados, estabelecer acesso não autorizado persistente ou utilizar a exploração para aceder a outros sistemas
- Conceda-nos um prazo razoável para resolvermos o problema antes de o divulgar publicamente
Assim que tiver confirmado a existência de uma vulnerabilidade ou tiver encontrado quaisquer dados sensíveis (incluindo informações de identificação pessoal, informações financeiras, informações confidenciais ou segredos comerciais de qualquer parte), deve interromper o seu teste, notificar-nos imediatamente e não divulgar esses dados a mais ninguém.
Comunicar uma vulnerabilidade
Envie um e-mail para cybersecurity@barry-callebaut.com para comunicar uma vulnerabilidade. Para nos ajudar a classificar e a priorizar as notificações, recomendamos que o seu relatório inclua:
- Quando a vulnerabilidade ou o problema foi identificado
- Descreva o sistema ou produto em que a vulnerabilidade foi descoberta
- Descreva os passos necessários para reproduzir a vulnerabilidade
- Quaisquer sugestões ou ideias de correção para resolver a vulnerabilidade
- A Callebaut compromete-se a confirmar a receção de todas as submissões no prazo de 3 dias úteis e agradece a sua participação.
Âmbito
O âmbito deste programa inclui todos os sítios Web da Callebaut detidos ou licenciados pela empresa; todos os sistemas empresariais ligados à Internet; e os produtos ligados à Internet e as aplicações associadas a dispositivos móveis. O programa não inclui:
- Campanhas de engenharia social ou de phishing dirigidas a colaboradores da Callebaut
- Ataques de Negação de Serviço (DoS) contra os sites ou aplicações empresariais da Callebaut
- Quaisquer outras atividades não autorizadas com intenção maliciosa
Por favor, contacte a Callebaut através de cybersecurity@barry-callebaut.com caso tenha questões sobre este programa ou para comunicar uma vulnerabilidade.
Reservamo-nos o direito de alterar o conteúdo desta Política a qualquer momento ou de a revogar.
Perguntas frequentes
-
Sobre o que não é necessário apresentar relatórios?
- Sender Policy Framework (SPF), sugestões de configuração para DKIM e DMARC
- Formulários de contacto sem limite de envio
- Divulgação de ficheiros ou diretórios públicos conhecidos (por exemplo, robots.txt)
- Divulgação de banners em serviços comuns/públicos sem um PoC
- Configurações de cabeçalhos de segurança ou ausência de cabeçalhos
- Ausência de sinalizadores Secure/HTTPOnly em cookies não confidenciais
-
O que fazem com os meus dados pessoais?
Na Callebaut, também valorizamos a privacidade. Em conformidade com normas de proteção de dados como o RGPD, conservamos o mínimo de informações sobre si, por um período limitado e apenas com o único objetivo de comunicar consigo.
Por conseguinte, quando comunica connosco, recolhemos o seu nome (ou o pseudónimo que tenha indicado) e o seu endereço de e-mail. Estas são as únicas informações pessoais de que necessitamos. Conservamos estas informações enquanto estivermos a tratar da sua divulgação responsável. Assim que o caso for encerrado, conservaremos os seus dados por um período máximo de 1 ano a contar da data de encerramento. Após esse período, eliminaremos os seus dados.
-
Quando é que terei notícias vossas depois de ter feito uma comunicação?
A sua comunicação deverá ser confirmada em devido tempo, normalmente no prazo de 72 horas. A denúncia terá então de ser validada, após o que será contactado novamente, normalmente no prazo de 10 dias úteis. Tenha em atenção que poderemos não conseguir responder a denúncias de baixa qualidade.
-
A vossa empresa contrata pessoal?
Estamos constantemente à procura de profissionais qualificados na área da segurança! Não hesite em consultar as nossas ofertas de emprego em https://jobs.barry-callebaut.com/.
-
Posso publicar alguma informação sobre a vulnerabilidade após a minha divulgação?
Solicitamos que todas as divulgações sejam mantidas em sigilo, a fim de proteger a nossa comunidade. Em circunstâncias muito específicas, e no que diz respeito a divulgações de grande importância, podemos prever uma comunicação pública comum. No entanto, tal deve ser acordado previamente em cybersecurity@barry-callebaut.com.