Политика ответственного распространения информации

image

Политика ответственного распространения информации

Информация, данные и поддерживающие их процессы, информационные системы и сети жизненно важны для компании Bühler, наших клиентов и других деловых партнеров. Соблюдение конфиденциальности, целостности и доступности полезной информации является одним из основных аспектов доверия, которое оказывают нам наши клиенты и деловые партнеры. Мы будем очень рады, если вы сообщите нам об обнаруженных проблемах безопасности или уязвимостях. В данном документе описывается порядок подачи таких отчетов и обеспечения ответственного распространения информации в компании Бюлер.

+

Отчет

Координатором отчетов является отдел информационной безопасности компании Бюлер, с которым можно связаться по адресу security[at]buhlergroup.com.

При подаче информации об уязвимостях в системе безопасности, пожалуйста, указывайте следующие элементы:

  • Тип уязвимости.
  • Точное описание уязвимости и затронутых элементов/активов.
  • Четкое пояснение, почему вы считаете, что это проблема безопасности или уязвимость.
  • Дополнительная полезная информация, например, действия по воспроизведению проблемы, снимки экрана, сценарии тестирования и т.п.

Рекомендации

В целях содействия ответственному распространению информации мы рекомендуем соблюдать следующие общие правила:
 

  • У компании Бюлер должно быть достаточно времени (мин. 60 дней) для проверки отчета и устранения ошибок. В течение этого времени не передавайте информацию третьим лицам или общественности без нашего разрешения.
  • При проведении каких-либо тестов не допускайте ухудшения качества услуг и продукции компании Бюлер. Не проводите DoS-атаки.
  • Не получайте, не изменяйте и не уничтожайте какую бы то ни было потенциально конфиденциальную информацию, если выявленная уязвимость позволяет вам это сделать.
  • Не предоставляйте отчеты, полученные от автоматических сканеров, без ручной проверки уязвимости.
     

Если вы будете следовать этим рекомендациям, мы обязуемся:
 

  • Не предпринимать никаких правовых действий, связанных с вашим исследованием, и не поддерживать их.
  • Сотрудничать с вами, чтобы выяснить и быстро устранить проблему, в том числе в течение 5 дней с момента предоставления отчета подтвердить его получение.
  • Рассмотреть возможность выплаты вознаграждения в зависимости от критичности выявленной проблемы и затрагиваемой информации/системы/сервиса; но в любом случае, если выявленная проблема соответствует данной политике и если вы этого пожелаете, мы впишем вас в нашу «Доску почета». Это распространяется на случаи, когда вы первым сообщаете о проблеме, и проблема еще не известна нам.

Уязвимости

Рассматриваемые уязвимости

К этой категории могут относиться любые проблемы, затрагивающие конфиденциальность или целостность информации, описанные приемлемым способом (от конца до конца). Примеры:

  • Межсайтовые сценарии (XSS)
  • Подделка межсайтовых запросов (CSRF)
  • Бреши в процессе аутентификации или авторизации
  • Внедрение SQL-кода (SQLI)
  • Выполнение удаленного кода (RCE)
  • Выполнение локальных или удаленных файлов на серверной стороне

 

Не рассматриваемые уязвимости

Следующие уязвимости не рассматриваются и не будут оплачиваться:

  • Сбои из-за DoS-атак.
  • Ошибки, не затрагивающие конфиденциальность, целостность или доступность информации или соответствующей услуги/актива или не представляющие прямого риска для безопасности.
  • Утечка некритичной информации.
  • Записи DNS, такие как SPF, MARC, DKIM.
  • Подделка межсайтовых запросов с выходом из системы.
  • Проблемы, связанные с сертификатом TLS/SSL, например слабые шифры или устаревшие протоколы.
  • Проблемы, которые могут быть воспроизведены только с помощью «кликджекинга».
  • Уязвимости, для активации которых жертве необходимо установить нестандартное программное обеспечение или предпринять другие активные действия.
  • Уязвимости, которые включают/требуют социальной инженерии в отношении наших сотрудников или клиентов.
  • Атаки, требующие физического доступа к устройству или системе.
  • Цепочки гипотетических атак, в которых выявленная уязвимость приведет к проблеме безопасности только в связке с предполагаемой/гипотетической ситуацией.
  • Отсутствие флагов cookie для нечувствительных файлов cookie.
  • Отсутствие заголовков http, которые не приводят напрямую к уязвимости.
  • Наличие баннера или информации о версии, если она не связана с уязвимой версией.

Доска почета

Исполнитель Дата Описание

Huzefa Surme

 January 2022

Reported a valid vulnerability in a web application.

Rushabh Vyas

 January 2022

Reported a valid vulnerability in a web application.

Ravindra Dagale

October 2021

Reported a vulnerable, outdated component in a web application.

Yunus Yildirim

October 2021

Reported a valid vulnerability in a web application.

Mohammed Eldawody

August 2021

Reported four valid findings with well documented explanations.