Політика відповідального розкриття інформації
Компанія Callebaut прагне захищати конфіденційність персональних даних споживачів та співробітників, а також забезпечувати безперебійну роботу наших інформаційних систем. Ця політика має на меті надати дослідникам у сфері безпеки чіткі вказівки щодо виявлення вразливостей та визначити наші рекомендації щодо порядку повідомлення нам про виявлені вразливості для їхнього аналізу. Ми закликаємо вас звертатися до нас із повідомленнями про вразливості на наших веб-сайтах та в наших системах.
Якщо під час проведення досліджень у сфері безпеки ви докладатимете зусиль, діючи в дусі доброї волі, щоб дотримуватися цієї політики, ми вважатимемо ваші дослідження санкціонованими. Ми співпрацюватимемо з вами, щоб швидко з’ясувати та вирішити виявлені проблеми. Компанія Callebaut не рекомендуватиме та не вживатиме юридичних заходів у зв’язку з вашими дослідженнями.
Зверніть увагу, що компанія Callebaut не проводить програму винагород за виявлення вразливостей і не пропонує винагороди чи компенсації в обмін на повідомлення про потенційні проблеми безпеки або вразливості.
Рекомендації
Компанія Callebaut пропонує наступні рекомендації для дослідників, які можуть повідомити про вразливість або проводити законні дослідження. У рамках цієї політики під «дослідженням» розуміються дії, під час яких ви:
- Повідомляйте нас якомога швидше після виявлення реальної або потенційної проблеми безпеки
- Докладіть усіх зусиль, щоб уникнути порушень конфіденційності, погіршення якості користувацького досвіду, збою в роботі виробничих систем та знищення або маніпулювання даними
- Використовуйте експлойти лише в тій мірі, яка необхідна для підтвердження наявності вразливості
- Не використовуйте експлойт для компрометації або викрадення даних, встановлення постійного несанкціонованого доступу або для проникнення в інші системи
- Надайте нам достатньо часу для усунення проблеми, перш ніж оприлюднити її
Як тільки ви встановите наявність уразливості або натрапите на будь-які конфіденційні дані (включаючи інформацію, що дозволяє ідентифікувати особу, фінансову інформацію, а також інформацію, що є власністю будь-якої сторони, або її комерційні таємниці), ви повинні припинити тестування, негайно повідомити нас і не розголошувати ці дані нікому іншому.
Повідомлення про вразливість
Будь ласка, надішліть електронного листа на адресу cybersecurity@barry-callebaut.com для повідомлення про вразливість. Щоб допомогти нам класифікувати та визначити пріоритетність повідомлень, рекомендуємо включити до вашого звіту наступну інформацію:
- Коли було виявлено вразливість або проблему
- Опис системи або продукту, в якому було виявлено вразливість
- Опишіть кроки, необхідні для відтворення уразливості
- Будь-які пропозиції щодо усунення уразливості або ідеї щодо її вирішення
- Компанія Callebaut зобов’язується підтвердити отримання всіх повідомлень протягом 3 робочих днів і вдячна за вашу участь.
Сфера застосування
Дія цієї програми поширюється на всі веб-сайти компанії Callebaut, що належать їй або використовуються за ліцензією; усі бізнес-системи, підключені до Інтернету; а також продукти, підключені до Інтернету, та мобільні додатки. Програма не охоплює:
- кампанії з соціальної інженерії або фішингу, спрямовані на співробітників Callebaut
- Атаки типу «відмова в обслуговуванні» (DoS) на веб-сайти або бізнес-додатки Callebaut
- Будь-які інші несанкціоновані дії, вчинені з зловмисним наміром
З питаннями щодо цієї програми або для повідомлення про вразливість, будь ласка, звертайтеся до компанії Callebaut за адресою cybersecurity@barry-callebaut.com
Ми залишаємо за собою право в будь-який час змінити зміст цієї Політики або припинити її дію.
Поширені запитання
-
Про що не потрібно звітувати?
- Sender Policy Framework (SPF), рекомендації щодо налаштування DKIM та DMARC
- Контактні форми без обмежень на кількість відправлень
- Розкриття відомого вмісту публічних файлів або каталогів (наприклад, robots.txt)
- Розкриття інформації у банері на загальнодоступних сервісах без доказу концепції (PoC)
- Налаштування заголовків безпеки або відсутність заголовків
- Відсутність прапорців Secure/HTTPOnly у неконфіденційних файлах cookie
-
Що ви робите з моїми персональними даними?
У компанії Callebaut ми також дбаємо про конфіденційність: дотримуючись стандартів захисту даних, таких як GDPR, ми зберігаємо мінімальний обсяг інформації про вас протягом обмеженого часу і виключно з метою спілкування з вами.
Тому під час спілкування з нами ми збираємо ваше ім’я (або обраний вами псевдонім) та вашу електронну адресу. Це єдина особиста інформація, яка нам потрібна. Ми зберігаємо ці дані протягом усього часу, поки розглядаємо ваше повідомлення про уразливість. Після закриття справи ми зберігатимемо ваші дані протягом 1 року з дати закриття. Після цього ми видаляємо ваші дані.
-
Коли я отримаю відповідь від вас після подання інформації?
Ваше повідомлення має бути підтверджено у встановлений термін, як правило, протягом 72 годин. Потім інформація, надана вами, має бути перевірена, після чого з вами знову зв’яжуться, зазвичай протягом 10 робочих днів. Зверніть увагу, що ми можемо не мати можливості відповісти на повідомлення низької якості.
-
Ви проводите набір персоналу?
Ми постійно шукаємо кваліфікованих фахівців у сфері безпеки! Запрошуємо ознайомитися з нашими вакансіями за посиланням https://jobs.barry-callebaut.com/.
-
Чи можу я опублікувати будь-яку інформацію про цю вразливість після її розкриття?
Ми просимо зберігати конфіденційність усіх повідомлень з метою захисту нашої спільноти. За дуже конкретних обставин та у випадках, що стосуються важливих повідомлень, ми можемо розглянути можливість оприлюднення загального повідомлення. Однак це має бути попередньо узгоджено за адресою cybersecurity@barry-callebaut.com.