负责任披露政策
卡莱博(Callebaut)致力于保护消费者和员工的个人信息机密性,并确保我们的信息系统正常运行。本政策旨在为安全研究人员开展漏洞发现活动提供明确的指导方针,并说明我们对如何向我们提交已发现漏洞以供审查的具体要求。我们鼓励您联系我们,报告我们网站和系统中的漏洞。
如果您在进行安全研究时本着善意努力遵守本政策,我们将视您的研究为经授权的研究。我们将与您合作,迅速了解并解决所报告的问题。卡莱博特不会就您的研究建议或采取任何法律行动。
请注意,卡莱博特未设立漏洞赏金计划,也不会因您提交潜在的安全隐患或漏洞而提供任何奖励或补偿。
指南
卡莱博特(Callebaut)为可能报告漏洞或开展合法研究的研究人员提出了以下指南。 根据本政策,“研究”是指您进行以下活动的行为:
- 在发现实际或潜在的安全问题后,请尽快通知我们
- 请尽一切努力避免侵犯隐私、降低用户体验、干扰生产系统以及破坏或篡改数据
- 仅在确认漏洞存在所必需的范围内使用漏洞利用程序
- 不得利用漏洞攻击来破坏系统或窃取数据,不得建立持久的未经授权访问,也不得利用该漏洞向其他系统进行跳板攻击
- 在公开披露该问题之前,请给予我们合理的时间来解决该问题
一旦您确认存在漏洞,或发现任何敏感数据(包括个人身份信息、财务信息,或任何一方的专有信息或商业秘密),您必须立即停止测试,并立即通知我们,且不得向任何其他人披露此类数据。
报告漏洞
如需报告漏洞,请发送电子邮件至 cybersecurity@barry-callebaut.com 。 为了帮助我们对提交的信息进行分类和优先级排序,建议您的报告包含以下内容:
- 发现该漏洞或问题的时间
- 描述发现该漏洞的系统或产品
- 描述重现该漏洞所需的步骤
- 针对该漏洞的任何修复建议或想法
- Callebaut 承诺将在 3 个工作日内对所有提交的报告予以确认,并感谢您的参与。
范围
本计划的范围包括卡莱博特公司拥有或获得授权的所有网站;所有面向互联网的业务系统;以及联网产品和相关移动应用程序。 该计划不包括:
- 针对卡莱博特员工的社会工程学或网络钓鱼活动
- 针对卡莱博(Callebaut)网站或业务应用程序的拒绝服务(DoS)攻击
- 任何其他出于恶意目的的未经授权活动
如对本计划有任何疑问或需报告漏洞,请通过 cybersecurity@barry-callebaut.com 联系卡莱博。
我们保留随时更改本政策内容或终止本政策的权利。
常见问题解答
-
哪些情况无需报告?
- 发件人策略框架(SPF), DKIM 和 DMARC 配置建议
- 无提交次数限制的联系表单
- 已知公共文件或目录的披露(例如 robots.txt)
- 在未提供概念验证(PoC)的情况下披露常见/公共服务中的横幅信息
- 安全标头配置不正确或标头缺失
- 非敏感 Cookie 缺少 Secure/HTTPOnly 标记
-
你们会如何处理我的个人数据?
卡莱博特同样重视隐私保护,我们遵循《通用数据保护条例》(GDPR)等数据保护标准,仅在有限时间内保留关于您的最低限度信息,且仅用于与您沟通之目的。
因此,当您与我们联系时,我们会收集您的姓名(或您提供的化名)以及您的电子邮箱地址。 这些是我们所需的唯一个人信息。在处理您的负责任披露期间,我们会保留这些信息。案件结案后,我们将保留您的数据至多1年。此后,我们将 删除 您的数据。
-
提交披露信息后,我什么时候会收到你们的回复?
您的提交内容通常会在72小时内得到确认。随后,该披露信息将需要经过验证,验证完成后,我们通常会在10个工作日内再次与您联系。请注意,对于质量较低的报告,我们可能无法予以回复。
-
你们在招聘吗?
我们一直在寻找技术娴熟的安全专业人才!欢迎浏览我们的招聘信息:https://jobs.barry-callebaut.com/.
-
披露该漏洞后,我可以发布任何与该漏洞相关的信息吗?
为保护我们的社区,我们要求对所有披露信息予以保密。在非常特定的情况下,且涉及重大披露时,我们可能会发布面向公众的公告。 但是,此类沟通必须事先在 cybersecurity@barry-callebaut.com处达成一致。