Information Security

Security Policy

Bizerba SE & Co. KG hecht het grootste belang aan de beveiliging van haar informatietechnologiesystemen en producten. Ondanks zorgvuldige implementatie, configuratie en controle van onze systemen kunnen potentiële beveiligingsrisico's niet volledig worden uitgesloten.

Beleid voor verantwoord melden van beveiligingsrisico's (Responsible Disclosure Policy)

Als u beveiligingsrisico's ontdekt in onze IT-systemen, webapplicaties of producten, verzoeken wij u vriendelijk deze aan ons te melden. Wij zullen onmiddellijk maatregelen nemen om het gevonden beveiligingsrisico zo snel mogelijk te analyseren en indien nodig te verhelpen. Het Responsible Disclosure-beleid van Bizerba mag niet zonder onze toestemming worden gebruikt voor het verwerken of doorsturen van meldingen van beveiligingsrisico's in programma’s van derden.

Uitgesloten systemen en producten

De volgende producten of systemen zijn uitdrukkelijk uitgesloten van dit beleid, tenzij er toestemming is van de eigenaar:

  • Klantenapparatuur en -software: Alle fysieke apparaten en machines, evenals software die eigendom is van een klant. Dit omvat, maar is niet beperkt tot, weegschalen, etiketteermachines, snijmachines en andere hardware- en softwareproducten van Bizerba die onder controle en eigendom van de klant zijn.
  • Systemen van derden: Systemen en diensten die worden beheerd door derden en niet direct door Bizerba worden gecontroleerd.

Procedure

Gelieve de volgende procedure te volgen:

  • Stuur uw bevindingen met betrekking tot het beveiligingsprobleem per e-mail naar security@bizerba.com. Gebruik alstublieft onze PGP-sleutel om uw documentatie te versleutelen en zo de veiligheid van gevoelige informatie te waarborgen. Voor een optimale communicatie verzoeken wij u gebruik te maken van het onderstaand formulier.
  • Maak geen misbruik van het beveiligingsrisico door gegevens te downloaden, te wijzigen, te verwijderen of code te uploaden.
  • Deel geen informatie over het beveiligingsrisico met derden, tenzij Bizerba hiervoor toestemming heeft gegeven.
  • Voer geen aanvallen uit die onze IT-systemen, infrastructuur of persoonsgegevens kunnen compromitteren, wijzigen of manipuleren.
  • Vermijd social engineering-aanvallen (bijv. phishing), (Distributed) Denial-of-Service-aanvallen, spam of andere soortgelijke aanvallen op Bizerba.
  • Voorzie voldoende informatie om het probleem te kunnen reproduceren en analyseren, en bied een contactmogelijkheid voor eventuele vragen.

Onze belofte

  • Wij doen ons best om het beveiligingsrisico zo snel mogelijk te analyseren en indien nodig te verhelpen.
  • U ontvangt een bevestiging van de ontvangst van uw melding en een terugkoppeling op uw rapport.
  • Als u handelt in overeenstemming met dit beveiligingsbeleid, worden de wetshandhavingsinstanties niet geïnformeerd over uw bevindingen. Dit geldt niet als er duidelijk sprake is van criminele of spionage-intenties.
  • Wij behandelen uw melding vertrouwelijk en geven uw persoonsgegevens niet zonder uw toestemming door aan derden.
  • Wij houden u tijdens de verwerking op de hoogte van de geldigheid en oplossing van het beveiligingsrisico.

Qualified reporting of vulnerabilities

Elk ontwerp- of implementatieprobleem dat reproduceerbaar is en de beveiliging beïnvloedt, kan worden gemeld. Voorbeelden hiervan zijn:

  • Uitbreiding van rechten
  • Ontsnapping uit de kioskmodus
  • Ongeautoriseerde toegang tot eigenschappen of accounts
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Onveilige directe objectreferentie
  • Remote Code Execution (RCE) – injectiefouten
  • Informatielek en onjuiste foutafhandeling
  • Mogelijkheid tot exfiltratie van gegevens/informatie
  • Actief misbruikbare achterdeurtjes (backdoors)
  • Mogelijkheid tot ongeautoriseerd gebruik van het systeem
  • Foutieve configuraties
  • Gegevens-/informatielekken

Niet-gekwalificeerde beveiligingsrisico's

De volgende veiligheidsrisico’s vallen niet onder het Vulnerability Disclosure-beleid van Bizerba en hoeven niet gemeld te worden:

  • Aanvallen die fysieke toegang tot het apparaat vereisen
  • Formulieren zonder CSRF-token, zolang de ernst volgens het Common Vulnerability Scoring System (CVSS) niveau 6 niet overschrijdt
  • Denial-of-Service-aanvallen (DoS/DDoS)
  • Ontbrekende beveiligingsheaders die niet direct leiden tot een uitbuitbare kwetsbaarheid
  • Het gebruik van een bekende kwetsbare bibliotheek zonder actief bewijs van uitbuitbaarheid
  • Rapporten van geautomatiseerde tools of scans zonder begeleidende documentatie
  • Social engineering gericht op personen of organisaties van Bizerba en hun opdrachtnemers
  • SPAM, bots, massaregistraties
  • Geen inzendingen van best practices
  • Gebruik van kwetsbare en “zwakke” cipher suites/versleutelingsalgoritmen

Standaardrapport voor een beveiligingsrisico

  • Titel/naam van beveiligheidsrisico
  • Type beveiligheidsrisico
  • Korte uitleg van beveiligingsrisico (zonder technische details)
  • Betrokken product/dienst/IT-systeem
    - Product
    - Versie/model (bijv. via apparaatpas)
  • Technische details en beschrijving van het beveiligingsrisico
  • Proof of Concept
  • Indien van toepassing, een mogelijke oplossing aangeven
    • Neem contact met ons op