Information Security

Politique de sécurité

Bizerba SE & Co KG attache une grande importance à la sécurité de ses systèmes et produits informatiques. Malgré le soin apporté à la mise en œuvre, à la configuration et aux tests de nos systèmes, il n'est pas possible d'exclure totalement les vulnérabilités potentielles.

Politique de diffusion responsable

Si vous découvrez des vulnérabilités dans nos systèmes informatiques, nos applications web ou nos produits, veuillez nous en informer. Nous prendrons des mesures immédiates pour analyser la vulnérabilité découverte le plus rapidement possible et la corriger si nécessaire. La politique de diffusion responsable de Bizerba ne peut pas être utilisée pour la préparation ou la transmission de rapports de vulnérabilité dans des programmes tiers sans notre consentement.

Systèmes ou produits exclus

Les produits ou systèmes suivants sont expressément exclus de la présente politique, sauf si le propriétaire a donné son accord :

  • Équipement et logiciels du client : Tous les équipements physiques, machines et logiciels appartenant à un client. Ceci inclut, mais n'est pas limité aux balances, groupes d'étiquetage, trancheurs et autres produits matériels et logiciels de Bizerba sous le contrôle et la propriété du client.
  • Systèmes tiers :Systèmes et services exploités par des tiers et qui ne sont pas directement contrôlés par Bizerba.

Procédure

Veuillez respecter la procédure suivante :

  • Envoyez vos observations sur le problème de sécurité par courrier électronique à l'adresse suivante security@bizerba.com . Veuillez utiliser notre clé PGP pour crypter votre documentation afin de garantir la sécurité des informations sensibles. Pour une communication optimisée, veuillez utiliser le modèle ci-dessous.
  • N'exploitez pas la vulnérabilité en téléchargeant, modifiant, supprimant des données ou en téléchargeant du code.
  • Ne divulguez pas d'informations sur la vulnérabilité à des tiers sans l'autorisation de Bizerba.
  • Ne menez pas d'attaques susceptibles de compromettre, de modifier ou de manipuler nos systèmes informatiques, notre infrastructure ou nos données personnelles.
  • Évitez les attaques d'ingénierie sociale (ex. phishing), les attaques par déni de service (distribué), les spams et autres attaques de ce type contre Bizerba.
  • Fournissez suffisamment d'informations pour pouvoir comprendre et analyser le problème et proposer une option de contact pour les questions.

Notre engagement

  • Nous mettons tout en œuvre pour analyser la vulnérabilité le plus rapidement possible et la corriger si nécessaire.
  • Vous recevrez une confirmation de la réception de votre rapport et un retour d'information sur celui-ci.
  • Si vous agissez conformément à la présente politique de sécurité, les autorités chargées de l'application de la loi ne seront pas informées de vos découvertes. Cela ne s'applique pas si des intentions criminelles ou de renseignement sont clairement poursuivies.
  • Nous traiterons votre rapport de manière confidentielle et ne transmettrons pas vos données personnelles à des tiers sans votre consentement.
  • Nous vous informerons de la validité et de l'élimination de la faille pendant la période de traitement.

Rapport qualifié sur les vulnérabilités

Signalement qualifié des vulnérabilités : Tout problème de conception ou de mise en œuvre qui peut être reproduit et qui affecte la sécurité peut être signalé. Voici quelques exemples

  • Extension des droits
  • Échappée du mode kiosque
  • Accès non autorisé à des fonctionnalités ou à des comptes
  • Falsification des requêtes intersites (CSRF)
  • Écriture croisée (XSS)
  • Référence directe d'objet non sécurisée
  • Exécution de code à distance (RCE) - failles dans le système informatique
  • Fuite d'informations et mauvaise gestion des erreurs
  • Exfiltration de données/d'informations
  • Portes dérobées activement exploitables
  • Utilisation non autorisée du système
  • Mauvaises configurations
  • Fuites de données/d'informations

Vulnérabilités non qualifiées

Les vulnérabilités suivantes ne sont pas couvertes par la politique de divulgation des vulnérabilités de Bizerba et ne doivent pas être signalées :

  • Attaques nécessitant un accès physique à l'appareil
  • Formulaires dont les codes CSRF sont manquants, pour autant que la criticité ne dépasse pas le niveau 6 du système commun d'évaluation des vulnérabilités (CVSS)
  • Attaques par déni de service (DoS/DDoS)
  • Titres de sécurité manquants qui ne conduisent pas directement à une vulnérabilité exploitable
  • L'utilisation d'une bibliothèque connue pour être vulnérable sans preuve active d'exploitabilité
  • Rapports d'outils automatisés ou d'analyses sans documentation explicative
  • Ingénierie sociale contre des personnes ou des installations de Bizerba et de ses contractants
  • SPAM, bots, enregistrement en masse
  • Pas de soumission de bonnes pratiques
  • Utilisation de suites de chiffrement/chiffres vulnérables et « faibles »

Modèle de rapport de vulnérabilité

  1. Titre / nom de la vulnérabilité
  2. Type de vulnérabilité
  3. Brève explication de la vulnérabilité (sans détails techniques)
  4. Produit/service/système informatique affecté
    - Produit
    - Version/modèle (par exemple, via le numéro de passeport de l'appareil)
  5. Détails techniques et description de la vulnérabilité
  6. Preuve de concept
  7. Si possible, indiquer une solution envisageable
  8. Auteur et coordonnées
Contactez-nous