Sistemi o prodotti esclusi
I seguenti prodotti o sistemi sono espressamente esclusi da questa policy, salvo che il proprietario abbia dato il proprio consenso:
- Apparecchiature e software dei clienti: Tutte le apparecchiature fisiche, i macchinari e i software di proprietà di un cliente. Questo include, ma non è limitato a, bilance, etichettatrici, affettatrici e altri prodotti hardware e software Bizerba sotto il controllo e la proprietà del cliente.
- Sistemi di terze parti: Sistemi e servizi gestiti da terze parti e non direttamente controllati da Bizerba.
Procedura
Si prega di seguire la seguente procedura:
- Invia le tue segnalazioni relative al problema di sicurezza riscontrato a security@bizerba.com . Ti preghiamo di utilizzare la nostra chiave PGP per crittografare la documentazione, al fine di garantire la sicurezza delle informazioni sensibili. Per una comunicazione ottimizzata, utilizza il modello riportato di seguito.
- Non sfruttare la vulnerabilità scaricando, modificando, eliminando dati o caricando codice.
- Non divulgare alcuna informazione sulla vulnerabilità a terzi, salvo autorizzazione da parte di Bizerba.
- Non eseguire attacchi che possano compromettere, modificare o manipolare i nostri sistemi IT, l'infrastruttura o i dati personali.
- Evita attacchi di social engineering (es. phishing), attacchi (distribuiti) di denial-of-service, spam o altri attacchi simili contro Bizerba.
- Fornisci informazioni sufficienti per comprendere e analizzare il problema e offri un'opzione di contatto per eventuali domande.
Il nostro impegno
- Ci impegnamo per analizzare la vulnerabilità il più rapidamente possibile e correggerla se necessario.
- Riceverai una conferma dell'avvenuta ricezione della tua segnalazione e un riscontro sul contenuto.
- Se agisci in conformità con questa policy di sicurezza, le autorità giudiziarie non verranno informate in relazione alla tua segnalazione. Ciò non si applica se vengono chiaramente perseguiti intenti criminali o di intelligence.
- Tratteremo la tua segnalazione in modo confidenziale e non trasmetteremo i tuoi dati personali a terzi senza il tuo consenso.
- Ti informeremo sulla validità e sulla gestione della vulnerabilità durante il periodo di elaborazione.
Segnalazione qualificata delle vulnerabilità:
Segnalazione qualificata delle vulnerabilità: qualsiasi problema di progettazione o implementazione che sia riproducibile e influisca sulla sicurezza può essere segnalato. Esempi di ciò sono
- Escalation dei privilegi
- Uscita dalla modalità Kiosk
- Accesso non autorizzato a proprietà o account
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Riferimento diretto insicuro a oggetti
- Esecuzione di codice remoto (RCE) - Vulnerabilità di iniezione
- Perdita di informazioni e gestione impropria degli errori
- Esfiltrazione di dati/informazioni
- Backdoor attivamente sfruttabili
Vulnerabilità non qualificate
Le seguenti vulnerabilità non sono coperte dalla Vulnerability Disclosure Policy di Bizerba e non devono essere segnalate:
- Attacchi che richiedono l’accesso fisico al dispositivo
- Form con token CSRF mancanti, a condizione che la criticità non superi il livello 6 del Common Vulnerability Scoring System (CVSS)
- Attacchi di denial of service (DoS/DDoS)
- Header di sicurezza mancanti che non portano direttamente a una vulnerabilità sfruttabile
- L’uso di una libreria nota per essere vulnerabile senza una prova attiva della sua sfruttabilità
- Segnalazioni da strumenti o scansioni automatiche senza documentazione esplicativa
Template per la segnalazione di vulnerabilità
- Titolo/nome della vulnerabilità
- Tipo di vulnerabilità
- Breve spiegazione della vulnerabilità (senza dettagli tecnici)
- Prodotto/servizio/sistema IT interessato
- Prodotto
- Versione/modello (es. tramite device passport) - Dettagli tecnici e descrizione della vulnerabilità
- Proof of concept
- Se necessario, indicare una possibile soluzione
- Autore e dati di contatto