Politik for offentliggørelse af sårbarheder

Som Canon tager vi sikkerheden af vores IT-systemer alvorligt og sætter pris på sikkerhedsfællesskabet. Oplysning om sårbarheder i sikkerheden hjælper os med at sikre vores brugeres sikkerhed og beskyttelse af personlige oplysninger, hvor du fungerer som betroet partner. Denne politik forklarer kravene og mekanismen i forbindelse med Canon EMEA IT System Vulnerability Disclosure, der gør det muligt for forskere at rapportere sikkerhedsbrister på en sikker og etisk måde til Canon EMEA Information Security-teamet.

Denne politik gælder for alle, herunder interne Canon-deltagere og eksterne deltagere.

Anvendelsesområde

Canon EMEA Information Security-teamet er forpligtet til at beskytte Canons kunder og medarbejdere. Som en del af dette engagement inviterer vi sikkerhedsforskere til at hjælpe med at beskytte Canon ved proaktivt at rapportere sikkerhedsrisici og sårbarheder. Du kan rapportere oplysninger om dit/dine fund på: appsec@canon-europe.com

Domæner i omfanget
Dette er listen over domæner, der er inkluderet som en del af Canons politik for offentliggørelse af sårbarheder.
*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Rapportering af en sårbarhed

Du kan rapportere svagheder til os via e-mail: appsec@canon-europe.com. Angiv i din e-mail kortfattet, hvilke(n) svaghed(er) du har fundet så eksplicit og detaljeret som muligt, og fremvis eventuelle beviser, du måtte have, idet du skal huske på, at meddelelsen vil blive gennemgået af Canons sikkerhedsspecialister. Medtag især følgende i din e-mail:

• Typen af sårbarhed
• Trinvis vejledning til, hvordan sårbarheden reproduceres
• Den tilgang, du gjorde brug af
• Hele URL-adressen
• Objekter (som filtre eller indtastningsfelter), der muligvis kan være involveret
• Vi sætter stor pris på skærmprint
• Angiv din IP-adresse i sårbarhedsrapporten. Denne vil blive holdt privat for at spore dine testaktiviteter og for at gennemse logfilerne fra vores side

Vi accepterer ikke output fra automatiske softwarescannere.

Hvad accepteres ikke:

• Volumetriske/Denial of Service-sårbarheder (dvs. blot at overvælde vores service med en høj mængde anmodninger)
• TLS-konfigurationssvagheder (f.eks. "Svag" understøttelse af krypteringsprogrampakke, understøttelse af TLS1.0, sweet32 osv.)
• Problemer med verificering af e-mailadresser, der bruges til at oprette brugerkonti relateret til myid.canon
• "Self" XSS
• Scripts til blandet indhold på www.canon.*
• Usikre cookies på www.canon.*
• CSRF- og CRLF-angreb, hvor den resulterende påvirkning er minimal
• HTTP Host Header XSS uden fungerende proof-of-concept
• Ufuldstændig/manglende SPF/DMARC/DKIM
• Social Engineering-angreb
• Sikkerhedsproblemer på tredjepartswebsider, der integreres med Canon
• Teknikker til optælling af netværksdata (f.eks. Banner Grapping, eksistensen af offentligt tilgængelige sider til serverdiagnosticering)
• Rapporter, der angiver, at vores tjenester ikke er helt i overensstemmelse med "bedste praksis"

Hvad vi gør med din rapport

Canons eksperter inden for informationssikkerhed vil undersøge din rapport og kontakte dig inden for 5 arbejdsdage.

Dine personlige oplysninger

Vi bruger kun dine personlige oplysninger til at foretage handlinger baseret på din rapport. Vi deler ikke dine personlige oplysninger med andre uden din udtrykkelige tilladelse.

Regler

Potentielt ulovlige handlinger

Hvis du opdager en svaghed og undersøger den, kan du komme til at udføre handlinger, der er strafbare. Hvis du følger nedenstående regler og principper for rapportering af svagheder i vores IT-systemer, vil vi ikke rapportere din overtrædelse til myndighederne og vil ikke indsende et krav.

Det er dog vigtigt, at du ved, at den offentlige anklagemyndigheds kontor – ikke CANON – kan beslutte, om du vil blive retsforfulgt eller ej, selv om vi ikke har indberettet din overtrædelse til myndighederne. Det betyder, at vi ikke kan garantere, at du ikke vil blive retsforfulgt, hvis du begår en strafbar handling, når du undersøger en svaghed.

National Cyber Security Centre of the Ministry of Security har udarbejdet retningslinjer for rapportering af svagheder i IT-systemer. Vores regler er baseret på disse retningslinjer. (https://english.ncsc.nl/)

Generelle principper

Tag ansvar, og udvis stor omhyggelighed og forsigtighed. Når du undersøger sagen, må du kun bruge metoder eller teknikker, der er nødvendige for at finde eller påvise svaghederne.

• Brug ikke svagheder, du opdager, til andre formål end din egen specifikke undersøgelse.
• Brug ikke social engineering til at få adgang til et system.
• Installer ikke nogen bagdøre – ikke engang for at demonstrere et systems sårbarhed. Bagdøre vil svække systemets sikkerhed.
• Du må ikke ændre eller slette oplysninger i systemet. Hvis du har brug for at kopiere oplysninger til din undersøgelse, må du aldrig kopiere mere, end du har brug for. Hvis en post er tilstrækkelig, må du ikke gå længere.
• Systemet må ikke ændres på nogen måde.
• Infiltrér kun et system, hvis det er absolut nødvendigt. Hvis det lykkes dig at infiltrere et system, må du ikke dele adgang med andre.
• Brug ikke brute force-teknikker, som f.eks. gentagne gange at indtaste adgangskoder, for at få adgang til systemer.
• Brug ikke DoS-angreb (Denial of Service) for at få adgang

Ofte stillede spørgsmål

Vil jeg modtage en belønning for min undersøgelse?

Nej, du er ikke berettiget til nogen form for kompensation.

Har jeg lov til at offentliggøre de svagheder, jeg finder, og min undersøgelse?

Du må aldrig offentliggøre svagheder i Canons IT-systemer eller din undersøgelse uden først at rådføre dig med os via e-mailen: appsec@canon-europe.com. Vi kan samarbejde for at forhindre kriminelle i at misbruge dine oplysninger. Rådfør dig med vores Information Security-team, så kan vi samarbejde om offentliggørelse.

Kan jeg rapportere en svaghed anonymt?

Ja, det kan du. Du behøver ikke at nævne dit navn og dine kontaktoplysninger, når du rapporterer en svaghed. Vær dog opmærksom på, at vi ikke vil være i stand til at rådføre os med dig om opfølgningsforanstaltninger, f.eks. hvad vi gør ved din anmeldelse eller yderligere samarbejde.

Hvad må jeg ikke bruge denne e-mailadresse til?

E-mailen: appsec@canon-europe.com er ikke beregnet til følgende:

• At indsende klager over Canon-produkter eller -tjenester
• At indsende spørgsmål eller klager om tilgængeligheden af Canons websider.
• At indberette bedrageri eller mistanke om svindel
• At rapportere falske e-mails eller phishing-e-mails
• At rapportere vira