Sorumlu Bildirim Politikası
Callebaut, tüketicilerin ve çalışanların kişisel bilgilerinin gizliliğini ve bilgi sistemlerimizin erişilebilirliğini korumaya kararlıdır. Bu politika, güvenlik araştırmacılarına güvenlik açığı tespit faaliyetlerini yürütmeleri için net kılavuzlar sunmayı ve tespit edilen güvenlik açıklarının inceleme amacıyla bize nasıl bildirilmesi gerektiğine dair tercihlerimizi aktarmayı amaçlamaktadır. Web sitelerimiz ve sistemlerimizdeki güvenlik açıklarını bildirmek için bizimle iletişime geçmenizi öneririz.
Güvenlik araştırmanız sırasında bu politikaya uymak için iyi niyetli bir çaba gösterirseniz, araştırmanızı yetkili kabul edeceğiz. Bildirilen sorunları hızlı bir şekilde anlamak ve çözmek için sizinle işbirliği yapacağız. Callebaut, araştırmanızla ilgili herhangi bir hukuki işlem önermeyecek veya bu yönde adım atmayacaktır.
Callebaut'un bir hata ödül programı yürütmediğini ve potansiyel güvenlik endişeleri veya güvenlik açıklarının bildirilmesi karşılığında herhangi bir ödül veya tazminat teklifinde bulunmadığını lütfen unutmayın.
Yönergeler
Callebaut, bir güvenlik açığını bildirebilecek veya meşru araştırma yürütebilecek araştırmacılar için aşağıdaki kılavuz ilkeleri önermektedir. Bu politika kapsamında “araştırma”, aşağıdakileri içeren faaliyetler anlamına gelir:
- Gerçek veya potansiyel bir güvenlik sorunu keşfettikten sonra mümkün olan en kısa sürede bize bildirin
- Gizlilik ihlallerini, kullanıcı deneyiminin bozulmasını, üretim sistemlerinde kesintiye yol açılmasını ve verilerin tahrip edilmesini veya manipüle edilmesini önlemek için her türlü çabayı gösterin
- Saldırı araçlarını yalnızca bir güvenlik açığının varlığını doğrulamak için gerekli olduğu ölçüde kullanın
- Verileri ele geçirmek veya sızdırmak, kalıcı yetkisiz erişim sağlamak ya da diğer sistemlere geçiş yapmak amacıyla istismar yöntemlerini kullanmayın
- Sorunu kamuya açıklamadan önce, sorunu çözmemiz için bize makul bir süre tanıyın
Bir güvenlik açığı olduğunu tespit ettiğinizde veya herhangi bir hassas veriye (kişisel olarak tanımlanabilir bilgiler, finansal bilgiler veya herhangi bir tarafın özel bilgileri ya da ticari sırları dahil) rastladığınızda, testinizi durdurmalı, derhal bize bildirmeli ve bu verileri başka hiç kimseye ifşa etmemelisiniz.
Bir Güvenlik Açığını Bildirme
Bir güvenlik açığını bildirmek için lütfen cybersecurity@barry-callebaut.com adresine e-posta gönderin. Bildirimleri değerlendirmemize ve önceliklendirmemize yardımcı olması için, raporunuzda aşağıdakileri belirtmenizi öneririz:
- Güvenlik açığı veya sorunun ne zaman tespit edildiği
- Güvenlik açığının tespit edildiği sistemi veya ürünü açıklayın
- Güvenlik açığını yeniden oluşturmak için gerekli adımları açıklayın
- Güvenlik açığını gidermek için herhangi bir öneri veya fikir
- Callebaut, tüm bildirimleri 3 iş günü içinde teyit etmeyi taahhüt eder ve katılımınız için teşekkür eder.
Kapsam
Bu programın kapsamı, şirketin sahibi olduğu veya lisansını aldığı tüm Callebaut web sitelerini; İnternet’e açık tüm iş sistemlerini; ve İnternet’e bağlı ürünleri ile mobil uygulamaları içermektedir. Programın kapsamı dışında kalanlar:
- Callebaut çalışanlarına yönelik sosyal mühendislik veya oltalama kampanyaları
- Callebaut web sitelerine veya iş uygulamalarına yönelik Hizmet Engelleme (DoS) saldırıları
- Kötü niyetle gerçekleştirilen diğer tüm yetkisiz faaliyetler
Bu programla ilgili sorularınız için veya bir güvenlik açığını bildirmek üzere lütfen cybersecurity@barry-callebaut.com adresinden Callebaut ile iletişime geçin.
Bu Politikanın içeriğini herhangi bir zamanda değiştirme veya Politikayı feshetme hakkımızı saklı tutarız.
Sık Sorulan Sorular
-
Hangi hususlar bildirilmesine gerek yoktur?
- Gönderen Politikası Çerçevesi (SPF), DKIM ve DMARC yapılandırma önerileri
- Gönderim sınırı olmayan İletişim Formları
- Bilinen genel dosyaların veya dizinlerin açıklanması (örn. robots.txt)
- PoC olmadan yaygın/halka açık hizmetlerde banner ifşası
- Güvenlik başlığı yapılandırmaları veya eksik başlık
- Hassas olmayan çerezlerde Secure/HTTPOnly bayraklarının eksikliği
-
Kişisel verilerimi nasıl işliyorsunuz?
Callebaut olarak gizliliğe de büyük önem veriyoruz; GDPR gibi veri koruma standartlarına uygun olarak, sizinle iletişim kurmak amacıyla sınırlı bir süre boyunca ve yalnızca bu amaçla hakkınızda asgari düzeyde bilgi saklıyoruz.
Bu nedenle, bizimle iletişim kurduğunuzda adınızı (veya kullandığınız takma adı) ve e-posta adresinizi topluyoruz. İhtiyacımız olan kişisel bilgiler sadece bunlardır. Bu bilgileri, sorumlu bildiriminizle ilgilendiğimiz sürece saklarız. Dosya kapatıldıktan sonra, verilerinizi kapanış tarihinden itibaren en fazla 1 yıl süreyle saklarız. Bu sürenin sonunda verilerinizi sileriz.
-
Bilgi paylaştıktan sonra sizden ne zaman haber alacağım?
Bildiriminiz normalde 72 saat içinde teyit edilecektir. Ardından bildirimin doğrulanması gerekecek ve bu işlemden sonra genellikle 10 iş günü içinde sizinle tekrar iletişime geçilecektir. Lütfen düşük kaliteli bildirimlere yanıt veremeyebileceğimizi unutmayın.
-
Personel alımı yapıyor musunuz?
Yetenekli güvenlik uzmanlarını sürekli arıyoruz! İş ilanlarımıza şu adresten göz atabilirsiniz: https://jobs.barry-callebaut.com/.
-
Açıklamamdan sonra bu güvenlik açığıyla ilgili herhangi bir şey yayınlayabilir miyim?
Topluluğumuzu korumak amacıyla tüm bilgilerin gizli tutulmasını rica ediyoruz. Çok özel durumlarda ve önemli açıklamalar söz konusu olduğunda, kamuoyuna yönelik ortak bir duyuru yapılabileceğini öngörebiliriz. Ancak bunun için önceden cybersecurity@barry-callebaut.com adresinden mutabakat sağlanması gerekmektedir.