Política de Divulgação Responsável

A Callebaut está empenhada em proteger a confidencialidade dos dados pessoais dos consumidores e dos colaboradores, bem como a disponibilidade dos nossos sistemas de informação. Esta política tem como objetivo fornecer aos investigadores de segurança orientações claras para a realização de atividades de deteção de vulnerabilidades e comunicar as nossas preferências quanto à forma de nos comunicar as vulnerabilidades detetadas para análise. Encorajamo-lo a contactar-nos para comunicar vulnerabilidades nos nossos sítios Web e sistemas.

Se envidar esforços de boa-fé para cumprir esta política durante a sua investigação de segurança, consideraremos a sua investigação como autorizada. Colaboraremos consigo para compreender e resolver rapidamente os problemas comunicados. A Callebaut não recomendará nem intentará qualquer ação judicial relacionada com a sua investigação.

Tenha em atenção que a Callebaut não dispõe de um programa de recompensas por descoberta de falhas e não oferece qualquer recompensa ou compensação em troca da comunicação de potenciais problemas de segurança ou vulnerabilidades.

Orientações

A Callebaut sugere as seguintes orientações para investigadores que pretendam comunicar uma vulnerabilidade ou realizar investigação legítima. Ao abrigo desta política, «investigação» significa atividades nas quais:

  • Nos notifique o mais rapidamente possível após descobrir um problema de segurança real ou potencial
  • Envidem todos os esforços para evitar violações de privacidade, degradação da experiência do utilizador, perturbações nos sistemas de produção e destruição ou manipulação de dados
  • Utilize exploits apenas na medida do necessário para confirmar a existência de uma vulnerabilidade
  • Não utilize uma exploração para comprometer ou extrair dados, estabelecer acesso não autorizado persistente ou utilizar a exploração para aceder a outros sistemas
  • Conceda-nos um prazo razoável para resolvermos o problema antes de o divulgar publicamente

 

Assim que tiver confirmado a existência de uma vulnerabilidade ou tiver encontrado quaisquer dados sensíveis (incluindo informações de identificação pessoal, informações financeiras, informações confidenciais ou segredos comerciais de qualquer parte), deve interromper o seu teste, notificar-nos imediatamente e não divulgar esses dados a mais ninguém.

Comunicar uma vulnerabilidade

Envie um e-mail para cybersecurity@barry-callebaut.com para comunicar uma vulnerabilidade. Para nos ajudar a classificar e a priorizar as notificações, recomendamos que o seu relatório inclua:

  • Quando a vulnerabilidade ou o problema foi identificado
  • Descreva o sistema ou produto em que a vulnerabilidade foi descoberta
  • Descreva os passos necessários para reproduzir a vulnerabilidade
  • Quaisquer sugestões ou ideias de correção para resolver a vulnerabilidade
  • A Callebaut compromete-se a confirmar a receção de todas as submissões no prazo de 3 dias úteis e agradece a sua participação.

Âmbito

O âmbito deste programa inclui todos os sítios Web da Callebaut detidos ou licenciados pela empresa; todos os sistemas empresariais ligados à Internet; e os produtos ligados à Internet e as aplicações associadas a dispositivos móveis. O programa não inclui:

  • Campanhas de engenharia social ou de phishing dirigidas a colaboradores da Callebaut
  • Ataques de Negação de Serviço (DoS) contra os sites ou aplicações empresariais da Callebaut
  • Quaisquer outras atividades não autorizadas com intenção maliciosa

Por favor, contacte a Callebaut através de cybersecurity@barry-callebaut.com caso tenha questões sobre este programa ou para comunicar uma vulnerabilidade.

Reservamo-nos o direito de alterar o conteúdo desta Política a qualquer momento ou de a revogar.

Perguntas frequentes

  • Sobre o que não é necessário apresentar relatórios?

    • Sender Policy Framework (SPF), sugestões de configuração para DKIM e DMARC
    • Formulários de contacto sem limite de envio
    • Divulgação de ficheiros ou diretórios públicos conhecidos (por exemplo, robots.txt)
    • Divulgação de banners em serviços comuns/públicos sem um PoC
    • Configurações de cabeçalhos de segurança ou ausência de cabeçalhos
    • Ausência de sinalizadores Secure/HTTPOnly em cookies não confidenciais
  • O que fazem com os meus dados pessoais?

    Na Callebaut, também valorizamos a privacidade. Em conformidade com normas de proteção de dados como o RGPD, conservamos o mínimo de informações sobre si, por um período limitado e apenas com o único objetivo de comunicar consigo.

    Por conseguinte, quando comunica connosco, recolhemos o seu nome (ou o pseudónimo que tenha indicado) e o seu endereço de e-mail.  Estas são as únicas informações pessoais de que necessitamos. Conservamos estas informações enquanto estivermos a tratar da sua divulgação responsável. Assim que o caso for encerrado, conservaremos os seus dados por um período máximo de 1 ano a contar da data de encerramento. Após esse período, eliminaremos os seus dados.

  • Quando é que terei notícias vossas depois de ter feito uma comunicação?

    A sua comunicação deverá ser confirmada em devido tempo, normalmente no prazo de 72 horas. A denúncia terá então de ser validada, após o que será contactado novamente, normalmente no prazo de 10 dias úteis. Tenha em atenção que poderemos não conseguir responder a denúncias de baixa qualidade.

  • A vossa empresa contrata pessoal?

    Estamos constantemente à procura de profissionais qualificados na área da segurança! Não hesite em consultar as nossas ofertas de emprego em https://jobs.barry-callebaut.com/.

  • Posso publicar alguma informação sobre a vulnerabilidade após a minha divulgação?

    Solicitamos que todas as divulgações sejam mantidas em sigilo, a fim de proteger a nossa comunidade. Em circunstâncias muito específicas, e no que diz respeito a divulgações de grande importância, podemos prever uma comunicação pública comum. No entanto, tal deve ser acordado previamente em cybersecurity@barry-callebaut.com.