Polityka ujawniania luk w zabezpieczeniach

Wprowadzenie

Ansell to globalny ekspert w dziedzinie rozwiązań bezpieczeństwa, który od 125 lat na nowo opracowuje rozwiązania w zakresie ochrony osobistej. Dostarczamy najbardziej zaawansowane rozwiązania ochronne milionom ludzi w pracy i w domu, chroniąc ich przed zagrożeniami. Nasze doświadczenie, innowacyjne produkty i zaawansowane technologie zapewniają pewność, której nie zapewni żadna inna marka. Misją firmy Ansell jest zapewnienie klientom niezawodnego zaopatrzenia w innowacyjne rozwiązania w zakresie bezpieczeństwa i budowanie bezpieczniejszego świata dzięki swoim produktom.

Niniejsza polityka ma na celu zapewnienie badaczom bezpieczeństwa jasnych wytycznych dotyczących prowadzenia działań związanych z wykrywaniem luk w zabezpieczeniach oraz przekazanie naszych preferencji dotyczących sposobu przesyłania nam wykrytych luk w zabezpieczeniach cybernetycznych.

Niniejsza polityka opisuje, jakie systemy i rodzaje badań są nią objęte, w jaki sposób przesyłać nam raporty o lukach w zabezpieczeniach oraz jak długo badacze bezpieczeństwa muszą czekać przed publicznym ujawnieniem luki w cyberbezpieczeństwie.

Zachęcamy do kontaktowania się z nami w celu zgłaszania wszelkich potencjalnych luk w naszych systemach.

Autoryzacja

Jeśli użytkownik podejmie w dobrej wierze starania, aby przestrzegać niniejszych zasad podczas badań nad bezpieczeństwem, uznamy, że badania są autoryzowane i będziemy współpracować z użytkownikiem w celu zrozumienia i szybkiego rozwiązania wszelkich kwestii związanych z cyberbezpieczeństwem, a firma Ansell nie będzie zalecać ani podejmować działań prawnych związanych z badaniami. W przypadku wszczęcia postępowania sądowego przez osobę trzecią przeciwko użytkownikowi w związku z działaniami prowadzonymi zgodnie z niniejszą polityką, poinformujemy o tym upoważnieniu.

Wytyczne

1. Zgłaszanie nowych, unikalnych luk w cyberbezpieczeństwie: Pomaga nam to skupić się na usuwaniu zagrożeń, które mają największy wpływ na nas i naszych klientów. Nie przesyłaj dużej liczby raportów niskiej jakości/niskiego ryzyka.
2. Nie narażaj systemów ani nie eksfiltruj danych: Używaj exploitów tylko w zakresie niezbędnym do potwierdzenia obecności luki w cyberbezpieczeństwie. Po uzyskaniu wystarczającej ilości informacji, aby wskazać problem bezpieczeństwa, nie próbuj ustanawiać trwałości, namierzać, wyliczać ani eksfiltrować żadnych wewnętrznych danych, ustanawiać dostępu do wiersza poleceń, wykorzystywać luki w zabezpieczeniach do przechodzenia do innych systemów. W przypadku napotkania jakichkolwiek danych wrażliwych (w tym informacji umożliwiających identyfikację osób, informacji finansowych, informacji zastrzeżonych lub tajemnic handlowych dowolnej strony) należy natychmiast przerwać test i powiadomić o tym wyłącznie firmę Ansell.
3. Szanuj innych: Nie rób tego: naruszania prywatności pracowników lub klientów firmy Ansell, uzyskiwania dostępu lub podejmowania prób uzyskania dostępu do danych nienależących do użytkownika; powodowania pogorszenia komfortu użytkowania, przeprowadzania ataków nietechnicznych (np. socjotechniki, phishingu lub nieautoryzowanego dostępu do infrastruktury i pracowników firmy Ansell) lub wykonywania jakichkolwiek działań, które mogą mieć negatywny wpływ na firmę Ansell lub jej klientów; powodowania zakłóceń w systemach produkcyjnych oraz ujawniania, niszczenia lub manipulowania danymi.
4. Współpraca: Współpracuj z nami tylko za pośrednictwem naszego skoordynowanego procesu ujawniania informacji, gdy tylko zostanie zidentyfikowana luka w cyberbezpieczeństwie. Adres e-mail i formularz internetowy HTTPS są dostępne poniżej.
5. Powiadom nas (wykonując poniższe czynności), gdy tylko odkryjesz rzeczywisty lub potencjalny błąd bezpieczeństwa w naszym systemie. Chcemy niezwłocznie zająć się tymi kwestiami i prosimy o niepoświęcanie terminowego powiadamiania nas, podczas gdy użytkownik może prowadzić dalsze badania, np. nad innymi produktami.
6. Daj nam rozsądny czas na rozwiązanie problemu, zanim ujawnisz go publicznie. 90 dni kalendarzowych od otrzymania przez nas (oprogramowanie, w tym systemy oparte na chmurze i aplikacje mobilne) lub 120 dni kalendarzowych od otrzymania przez nas (sprzęt, oprogramowanie sprzętowe i łączność bezprzewodowa).

Publiczne ujawnianie informacji

Zgodnie z powyższymi wytycznymi, aby zachować zgodność z niniejszymi zasadami, prosimy o powstrzymanie się od udostępniania zgłoszeń dotyczących firmy Ansell innym osobom przed ich przesłaniem do nas oraz w czasie, gdy badamy podejrzewaną lukę w cyberbezpieczeństwie i potencjalnie pracujemy nad poprawką lub innymi rozwiązaniami. Prosimy o zgłaszanie nam wszelkich kwestii związanych z firmą Ansell przed dokonaniem ujawnienia.

Poinformujemy Cię, gdy sfinalizujemy nasze ustalenia po usunięciu luki w cyberbezpieczeństwie. Aby zachować zgodność z tą polityką, wymagamy, aby użytkownik zamieścił link do ustaleń firmy Ansell wraz ze swoimi ustaleniami we wszelkich wpisach na blogu, raportach publicznych, prezentacjach lub innych publicznych oświadczeniach w tej sprawie. Nie będziemy publikować informacji o użytkowniku ani o naszej komunikacji z nim bez jego zgody, z wyjątkiem ewentualnego zamieszczenia ogólnego harmonogramu dotyczącego luki w zabezpieczeniach, na którą zwrócił nam uwagę. Jeśli chcesz zostać wyróżniony, podziękujemy Ci z imienia i nazwiska lub podając nazwisko w naszym poradniku. Firma Ansell nie przypisuje pracownikom ani wykonawcom firmy Ansell i jej spółek zależnych znalezionych przez nich luk w zabezpieczeniach.

W zakresie, w jakim niniejsze zasady odnoszą się do "luk w zabezpieczeniach" lub "luk w zabezpieczeniach", należy rozumieć, że wszystkie takie odniesienia oznaczają potencjalne lub podejrzewane luki w cyberbezpieczeństwie, niezależnie od tego, czy zostały one określone, czy nie, do czasu zbadania i potwierdzenia takiej luki przez firmę Ansell. Decyzja o tym, czy uznać ujawnienie luki w zabezpieczeniach i kiedy to nastąpi, zależy wyłącznie od naszego uznania i możemy anulować program w dowolnym momencie. Testy nie mogą naruszać żadnych przepisów prawa.

Metody testowania

Następujące metody testowe nie są dozwolone:

• Testy sieciowej odmowy usługi (DoS lub DDoS) lub inne testy, które utrudniają dostęp do systemu lub danych lub powodują ich uszkodzenie.
• Testy fizyczne (np. dostęp do biura, otwarte drzwi, tailgating), socjotechniczne (np. phishing, vishing) lub inne nietechniczne testy podatności.

Zakres

Niniejsza polityka dotyczy następujących systemów i usług:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Każda inna subdomena ansell.com

Wszystkie aplikacje klientów są wyłączone z tej polityki.

Podatności poza zakresem

Zgłaszając luki w zabezpieczeniach, należy wziąć pod uwagę (1) scenariusz ataku / możliwość wykorzystania oraz (2) wpływ błędu na bezpieczeństwo. Następujące kwestie są uważane za wykraczające poza zakres:

• Clickjacking na stronach bez wrażliwych działań
• Cross-Site Request Forgery (CSRF) na nieuwierzytelnionych formularzach lub formularzach bez wrażliwych działań.
• Ataki wymagające MITM lub fizycznego dostępu do urządzenia użytkownika
• Wcześniej znane podatne na ataki biblioteki bez działającej weryfikacji koncepcji
• Wstrzyknięcie wartości oddzielonych przecinkami (CSV) bez wykazywania luki.
• Brakujące najlepsze praktyki w konfiguracji SSL/TLS.
• Wszelkie działania, które mogą prowadzić do zakłócenia działania naszych usług (DoS).
• Problemy z fałszowaniem treści i wstrzykiwaniem tekstu bez pokazywania wektora ataku / bez możliwości modyfikowania HTML / CSS
• Problemy z ograniczaniem szybkości lub brutalną siłą w nieuwierzytelnionych punktach końcowych
• Brakujące najlepsze praktyki w polityce bezpieczeństwa treści
• Brakujące flagi Http Only lub Secure w plikach cookie
• Brak najlepszych praktyk w zakresie poczty e-mail (nieprawidłowe, niekompletne lub brakujące rekordy SPF/DKIM/DMARC itp.)
• Luki w zabezpieczeniach mające wpływ tylko na użytkowników przestarzałych lub niezałatanych przeglądarek [mniej niż 2 stabilne wersje za najnowszą wydaną stabilną wersją].
• Ujawnienie wersji oprogramowania / Problemy z identyfikacją banerów / Opisowe komunikaty o błędach lub nagłówki (np. ślady stosu, błędy aplikacji lub serwera)
• Tabnabbing
• Otwarte przekierowanie - o ile nie można wykazać dodatkowego wpływu na bezpieczeństwo
• Problemy wymagające niewielkiej interakcji z użytkownikiem

Wszelkie usługi, które nie zostały wyraźnie wymienione powyżej, takie jak wszelkie usługi powiązane, są wyłączone z zakresu i nie są dozwolone do testowania. Ponadto luki w cyberbezpieczeństwie wykryte w systemach naszych dostawców wykraczają poza zakres niniejszej polityki i powinny być zgłaszane bezpośrednio do dostawcy zgodnie z jego polityką ujawniania informacji (jeśli taka istnieje). Jeśli nie masz pewności, czy system jest objęty zakresem, skontaktuj się z nami pod adresem security.vdr@ansell.com przed rozpoczęciem badań.

Chociaż rozwijamy i utrzymujemy inne systemy lub usługi dostępne przez Internet, prosimy o prowadzenie aktywnych badań i testów wyłącznie w odniesieniu do systemów i usług objętych zakresem niniejszego dokumentu. Jeśli istnieje konkretny system nieobjęty zakresem, który Twoim zdaniem zasługuje na przetestowanie, skontaktuj się z nami, aby go najpierw omówić. Z czasem zamierzamy zwiększyć zakres tej polityki.

Zgłaszanie luk w zabezpieczeniach

Informacje przekazane zgodnie z niniejszą polityką będą wykorzystywane wyłącznie do celów obronnych - w celu złagodzenia lub naprawy luk w cyberbezpieczeństwie. Nie będziemy udostępniać imienia i nazwiska użytkownika ani jego danych kontaktowych bez jego wyraźnej zgody.

Zgłoszenia dotyczące luk w zabezpieczeniach przyjmujemy za pośrednictwem poniższego formularza lub strony security.vdr@ansell.com. Zgłoszenia można przesyłać anonimowo. Jeśli udostępnisz dane kontaktowe, potwierdzimy otrzymanie zgłoszenia w ciągu 3 dni roboczych.

Nie obsługujemy wiadomości e-mail szyfrowanych za pomocą PGP. W przypadku szczególnie wrażliwych informacji należy przesłać je za pośrednictwem poniższego formularza internetowego HTTPS.

Co chcielibyśmy od Ciebie zobaczyć

Aby pomóc nam w selekcji i nadawaniu priorytetów zgłoszeniom, zalecamy, aby raporty

• Opisz lokalizację, w której wykryto lukę w zabezpieczeniach cybernetycznych i potencjalny wpływ jej wykorzystania.
• Zaproponuj szczegółowy opis kroków potrzebnych do odtworzenia luki w cyberbezpieczeństwie (pomocne są skrypty lub zrzuty ekranu), w tym (w stosownych przypadkach):
  o Wersja aplikacji mobilnej
  o Typ urządzenia, wersja systemu operacyjnego, wersja przeglądarki
• W miarę możliwości w języku angielskim.

Czego możesz od nas oczekiwać

Gdy użytkownik zdecyduje się udostępnić nam swoje dane kontaktowe, zobowiązujemy się do współpracy z nim w sposób otwarty i tak szybko, jak to możliwe.

• W ciągu 5 dni roboczych potwierdzimy otrzymanie zgłoszenia.
• W miarę naszych możliwości potwierdzimy użytkownikowi istnienie luki w cyberbezpieczeństwie i zachowamy jak największą przejrzystość w zakresie kroków podejmowanych w trakcie procesu naprawczego, w tym kwestii lub wyzwań, które mogą opóźnić rozwiązanie.
• Będziemy prowadzić otwarty dialog w celu omówienia kwestii.
• Zgłaszając błąd lub lukę w zabezpieczeniach, użytkownik daje nam prawo do wykorzystania zgłoszenia w dowolnym celu.

Pytania

Pytania dotyczące niniejszej polityki można przesyłać na adres security.vdr@ansell.com. Zachęcamy również do kontaktu z nami w celu przekazania sugestii dotyczących ulepszenia niniejszej polityki.