Vyloučené systémy nebo produkty
Následující produkty nebo systémy jsou z této politiky výslovně vyjmuty, pokud jejich vlastník nedal souhlas:
- Zařízení a software zákazníka: Veškerá fyzická zařízení, stroje a software, které vlastní zákazník. Včetně, avšak ne pouze, vah, označovačů, nářezových strojů a dalších hardwarových a softwarových produktů Bizerba, které jsou pod kontrolou a vlastnictvím zákazníka.
- Systémy třetích stran: Systémy a služby provozované třetími stranami, které nejsou přímo pod kontrolou Bizerba.
Postup
Dodržujte prosím následující postup:
- Zašlete své zjištění o bezpečnostním problému na e-mail security@bizerba.com . Pro zabezpečení citlivých informací použijte náš PGP klíč k zašifrování dokumentace. Pro optimalizaci komunikace využijte níže uvedenou šablonu.
- Zjištěné bezpečnostní riziko nezneužívejte ke stahování, úpravám, mazání dat ani k nahrávání kódu.
- Nezveřejňujte žádné informace o bezpečnostním riziku třetím stranám bez povolení společnosti Bizerba.
- Nevykonávejte útoky, které by mohly ohrozit, změnit nebo zmanipulovat naše IT systémy, infrastrukturu či osobní data.
- Vyhněte se útokům sociálního inženýrství (např. phishingu), (distribuovaným) odmítacím útokům služby (DoS/DDoS), spamu či jiným obdobným útokům proti Bizerba.
- Uveďte dostatek informací k pochopení a analýze problému a připojte kontakt pro případné doplňující dotazy.
Náš závazek
- Usilujeme o co nejrychlejší analýzu bezpečnostního rizika a jeho odstranění, jak jen to je možné.
- Obdržíte potvrzení o přijetí vašeho hlášení a zpětnou vazbu k němu.
- Pokud postupujete v souladu s touto bezpečnostní politikou, nebudou s Vašimi zjištěními spojeny žádné orgány činné v trestním řízení. Toto neplatí, pokud je zřejmá kriminální nebo zpravodajská úmyslnost.
- Vaše hlášení bude důvěrně zpracováno a osobní údaje nebudou bez Vašeho souhlasu předány třetím stranám.
- Budeme Vás informovat o platnosti a odstranění bezpečnostního rizika během vyřizování Vaší žádosti.
Kvalifikované hlášení bezpečnostního rizika
Lze hlásit jakékoli bezpečnostní rizika způsobené chybou v návrhu nebo implementaci, pokud je lze reprodukovat. Příklady zahrnují:
- Eskalace oprávnění
- Únik z kioskového režimu
- Neoprávněný přístup k vlastnostem nebo účtům
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Nezabezpečený přímý přístup k objektům
- Vzdálené spuštění kódu (RCE) – chyby injekce
- Únik informací a nesprávné zpracování chyb
- Exfiltrace dat/informací
- Aktivně zneužitelné zadní vrátka
- Neoprávněné používání systému
- Nesprávné konfigurace
- Úniky dat/informací
Nezahrnutá bezpečnostní rizika
Následující bezpečnostní rizika nejsou předmětem politiky zodpovědného oznamování Bizerba's a nemají být hlášeny:
- Útoky vyžadující fyzický přístup k zařízení
- Formuláře bez CSRF tokenu, pokud kritičnost nepřesahuje úroveň 6 dle CVSS
- Útoky typu odmítnutí služby (DoS/DDoS)
- Chybějící bezpečnostní hlavičky, které přímo nevedou k zneužitelnému bezpečnostnímu riziku
- Použití knihovny známé jako bezpečnostní riziko bez aktivního důkazu možnosti zneužití
- Hlášení z automatizovaných nástrojů nebo skenů bez doprovodné dokumentace
- Sociální inženýrství proti osobám nebo zařízením Bizerba a jejích dodavatelů
- SPAM, boti, hromadné registrace
- Nepodání návrhů na nejlepší postupy
- Používání bezpečnostních rizik nebo slabých šifrovacích sad
Šablona pro hlášení zranitelnosti
- Název bezpečnostního rizika
- Typ bezpečnostního rizika
- Stručné vysvětlení bezpečnostního rizika (bez technických detailů)
- Postižený produkt/služba/IT systém
- Produkt
- Verze/model - Technické detaily a popis bezpečnostního rizika
- Důkaz konceptu (proof of concept)
- V případě potřeby návrh možného řešení
- Autor a kontaktní údaje