Политика ответственного раскрытия информации
Компания Callebaut привержена обеспечению конфиденциальности персональных данных потребителей и сотрудников, а также доступности наших информационных систем. Настоящая политика призвана предоставить исследователям в области безопасности четкие рекомендации по выявлению уязвимостей и изложить наши предпочтения относительно порядка направления обнаруженных уязвимостей на рассмотрение. Мы призываем вас обращаться к нам для сообщения об уязвимостях на наших веб-сайтах и в наших системах.
Если в ходе ваших исследований в области безопасности вы проявите добросовестные усилия по соблюдению настоящей политики, мы будем считать ваши исследования санкционированными. Мы будем сотрудничать с вами, чтобы быстро разобраться в сообщенных проблемах и устранить их. Компания Callebaut не будет рекомендовать и не будет предпринимать юридических действий в связи с вашими исследованиями.
Обращаем ваше внимание, что компания Callebaut не проводит программу поощрения за обнаружение уязвимостей и не предлагает вознаграждения или компенсации в обмен на сообщение о потенциальных проблемах безопасности или уязвимостях.
Рекомендации
Компания Callebaut предлагает следующие рекомендации для исследователей, которые могут сообщать об уязвимостях или проводить законные исследования. В рамках данной политики под «исследованием» понимается деятельность, в ходе которой вы:
- Сообщаете нам как можно скорее после обнаружения реальной или потенциальной проблемы безопасности
- Прилагайте все усилия, чтобы избежать нарушений конфиденциальности, ухудшения пользовательского опыта, сбоев в работе производственных систем, а также уничтожения или манипуляций с данными
- Используйте уязвимости только в той мере, в какой это необходимо для подтверждения наличия уязвимости
- Не используйте эксплойт для взлома или похищения данных, установления постоянного несанкционированного доступа или перехода на другие системы
- Предоставьте нам разумный срок для устранения проблемы, прежде чем обнародовать её
Как только вы убедитесь в наличии уязвимости или обнаружите какие-либо конфиденциальные данные (включая персональные данные, финансовую информацию, а также конфиденциальную информацию или коммерческие тайны любой стороны), вы должны прекратить тестирование, немедленно уведомить нас и не раскрывать эти данные кому-либо еще.
Сообщение об уязвимости
Пожалуйста, отправьте электронное письмо cybersecurity@barry-callebaut.com для сообщения об уязвимости. Чтобы помочь нам классифицировать и расставить приоритеты поступивших сообщений, мы рекомендуем включить в ваше сообщение следующую информацию:
- Когда была обнаружена уязвимость или проблема
- Описание системы или продукта, в котором была обнаружена уязвимость
- Опишите шаги, необходимые для воспроизведения уязвимости
- Любые предложения или идеи по устранению уязвимости
- Компания Callebaut обязуется подтвердить получение всех сообщений в течение 3 рабочих дней и благодарит вас за участие.
Область применения
В сферу действия данной программы входят все веб-сайты Callebaut, принадлежащие компании или используемые ею по лицензии; все бизнес-системы, подключенные к Интернету; а также продукты, подключенные к Интернету, и мобильные приложения. Программа не распространяется на:
- Кампании по социальной инженерии или фишингу, направленные на сотрудников Callebaut
- Атаки типа «отказ в обслуживании» (DoS) на веб-сайты или бизнес-приложения Callebaut
- Любые другие несанкционированные действия, совершаемые со злым умыслом
Пожалуйста, обращайтесь в компанию Callebaut по адресу cybersecurity@barry-callebaut.com с вопросами об этой программе или для сообщения об уязвимости.
Мы оставляем за собой право в любой момент изменить содержание настоящей Политики или прекратить её действие.
Часто задаваемые вопросы
-
О чём не нужно сообщать?
- Sender Policy Framework (SPF), рекомендации по настройке DKIM и DMARC
- Контактные формы без ограничений на отправку
- Раскрытие информации об известных общедоступных файлах или каталогах (например, robots.txt)
- Раскрытие информации о баннерах на общедоступных сервисах без доказательства концепции
- Настройки заголовков безопасности или отсутствие заголовков
- Отсутствие флагов Secure/HTTPOnly в неконфиденциальных файлах cookie
-
Что вы делаете с моими персональными данными?
В компании Callebaut мы также уделяем большое внимание конфиденциальности: следуя стандартам защиты данных, таким как GDPR, мы храним о вас минимальный объем информации в течение ограниченного времени и исключительно с целью общения с вами.
Поэтому при общении с нами мы собираем ваше имя (или выбранный вами псевдоним) и адрес электронной почты. Это единственные персональные данные, которые нам необходимы. Мы храним эту информацию до тех пор, пока рассматриваем ваше сообщение об уязвимости. После закрытия дела мы будем хранить ваши данные в течение 1 года с даты закрытия. По истечении этого срока мы удаляем ваши данные.
-
Когда я получу ответ от вас после подачи заявления?
Ваше сообщение должно быть подтверждено в установленный срок, как правило, в течение 72 часов. Затем информация должна будет пройти проверку, после чего с вами свяжутся повторно, как правило, в течение 10 рабочих дней. Обратите внимание, что мы не сможем ответить на сообщения низкого качества.
-
Вы набираете сотрудников?
Мы постоянно ищем квалифицированных специалистов в области безопасности! Приглашаем вас ознакомиться с нашими вакансиями по адресу https://jobs.barry-callebaut.com/.
-
Могу ли я публиковать какую-либо информацию об этой уязвимости после того, как я о ней сообщил?
Мы просим сохранять конфиденциальность всех сообщений в целях защиты нашего сообщества. В очень конкретных случаях, касающихся важных сообщений, мы можем рассмотреть возможность общего публичного заявления. Однако это должно быть согласовано заранее по адресу cybersecurity@barry-callebaut.com.