Güvenlik Açığı Açıklama Politikası

GİRİŞ

Ansell, 125 yıldır kişisel korumayı yeniden keşfeden küresel bir güvenlik çözümleri uzmanıdır. İş yerinde ve evde milyonlarca insana en gelişmiş koruma çözümlerini sunarak onları tehlikelerden uzak tutuyoruz. Uzmanlığımız, inovatif ürünlerimiz ve ileri teknolojimiz, müşterilerimize başka hiçbir markanın sunamadığı zihin ferahlığı ve güveni sağlamaktadır. Ansell'in misyonu, güvenilir ve itimat edilebilir bir şekilde inovatif güvenlik çözümleri sunmak ve Ansell tarafından korunan bir dünya yaratmaktır.

Bu politika, güvenlik araştırmacılarına güvenlik açığı keşif faaliyetlerini yürütmek için net yönergeler vermeyi ve keşfedilen siber güvenlik açıklarının bize nasıl gönderileceğine ilişkin tercihlerimizi iletmeyi amaçlamaktadır.

Bu politika, hangi sistemlerin ve araştırma türlerinin bu politika kapsamında olduğunu, güvenlik açığı raporlarının bize nasıl gönderileceğini ve güvenlik araştırmacılarından bir siber güvenlik açığını kamuya açıklamadan önce ne kadar süre beklemelerini istediğimizi açıklamaktadır.

Sistemlerimizdeki olası güvenlik açıklarını bildirmek için bizimle iletişime geçmenizi öneririz.

Yetkilendirme

Güvenlik araştırmanız sırasında bu politikaya uymak için iyi niyetli bir çaba gösterirseniz, araştırmanızın yetkili olduğunu düşüneceğiz ve herhangi bir siber güvenlik sorununu hızlı bir şekilde anlamak ve çözmek için sizinle birlikte çalışacağız ve Ansell araştırmanızla ilgili yasal işlem önermeyecek veya takip etmeyecektir. Bu politikaya uygun olarak yürütülen faaliyetler nedeniyle üçüncü bir tarafça size karşı yasal işlem başlatılması durumunda, bu yetkiyi bildireceğiz.

Kılavuzlar

1. Yeni, benzersiz siber güvenlik açıklarını bildirin: Bu, bizim ve müşterilerimiz için en etkili riskleri düzeltmeye odaklanmamıza yardımcı olur. Yüksek miktarda düşük kaliteli/düşük riskli rapor göndermeyin
2. Sistemleri tehlikeye atmayın veya verileri dışarı sızdırmayın: Açıkları yalnızca bir siber güvenlik açığının varlığını doğrulamak için gerekli olduğu ölçüde kullanın. Bir güvenlik sorununa işaret etmek için yeterli bilgi edindikten sonra, lütfen kalıcılık sağlamaya, herhangi bir dahili veriyi hedef almaya, numaralandırmaya veya dışarı sızdırmaya, komut satırı erişimi kurmaya, diğer sistemlere geçmek için bir güvenlik açığı kullanmaya çalışmayın. Herhangi bir hassas veriyle (kişisel olarak tanımlanabilir bilgiler, finansal bilgiler veya herhangi bir tarafın özel bilgileri veya ticari sırları dahil) karşılaşırsanız testinizi durdurun ve derhal yalnızca Ansell'i bilgilendirin.
3. Başkalarına saygı gösterin: Yapmayın: Ansell'in herhangi bir çalışanının veya müşterisinin gizliliğini ihlal etmek, size ait olmayan verilere erişmek veya erişmeye çalışmak; kullanıcı deneyiminin bozulmasına neden olmak, teknik olmayan saldırılar gerçekleştirmek (örneğin, sosyal mühendislik, kimlik avı veya Ansell'in altyapısına ve çalışanlarına yetkisiz erişim) veya Ansell'i veya müşterilerini olumsuz etkileyebilecek herhangi bir eylemde bulunmak; üretim sistemlerinde kesintiye ve verilerin açığa çıkmasına, yok edilmesine veya manipüle edilmesine neden olmak.
4. İşbirliği yapın: Bir siber güvenlik açığı tespit edilir edilmez yalnızca koordineli ifşa sürecimiz aracılığıyla bizimle işbirliği yapın. E-posta adresi ve HTTPS Web Formu aşağıda mevcuttur.
5. Sistemimizde gerçek veya olası bir güvenlik sorunu keşfettiğinizde bizi (aşağıdaki adımları izleyerek) bilgilendirin . Bu sorunları derhal ele almak istiyoruz ve siz örneğin başka ürünler üzerinde daha fazla araştırma yaparken bize zamanında bildirimde bulunmaktan ödün verilmemesini rica ediyoruz.
6. Sorunu kamuya açıklamadan önce çözmemiz için bize makul bir süre tanıyın. Tarafımızdan alınmasından itibaren 90 takvim günü (bulut tabanlı sistemler ve mobil uygulamalar dahil olmak üzere yazılım) veya tarafımızdan alınmasından itibaren 120 takvim günü (donanım, aygıt yazılımı ve kablosuz).

Kamuyu Aydınlatma

Yukarıdaki yönergelerde belirtildiği gibi, bu politikaya uymak için, Ansell hakkındaki raporunuzu bize göndermeden önce ve şüpheli siber güvenlik açığını araştırırken ve potansiyel olarak bir yama veya diğer çözümler üzerinde çalışırken başkalarıyla paylaşmaktan kaçınmanızı rica ediyoruz. Lütfen bir açıklama yapmadan önce Ansell ile ilgili sorunları bize iletin.

Siber güvenlik açığı giderildikten sonra bulgularımızı sonuçlandırdığımızda sizi bilgilendireceğiz. Bu politikaya uymak için, herhangi bir blog gönderisinde, kamuya açık raporlarda, sunumlarda veya konuyla ilgili diğer kamuya açık beyanlarda bulgularınızın yanı sıra Ansell'in bulgularına da bağlantı vermenizi istiyoruz. Dikkatimize sunduğunuz güvenlik açığı ile ilgili genel bir zaman çizelgesini listelemek dışında, izniniz olmadan sizinle ilgili bilgileri veya sizinle olan iletişimimizi yayınlamayacağız. Eğer tanınmak isterseniz, size danışmanlık hizmetlerimizde isminiz veya adınızla teşekkür edeceğiz. Ansell, Ansell ve iştiraklerinin çalışanlarına veya yüklenicilerine buldukları güvenlik açıkları için itibar etmez.

Bu politikada bir "güvenlik açığı" veya "güvenlik açıkları "na atıfta bulunulduğu ölçüde, söz konusu güvenlik açığı Ansell tarafından araştırılıp onaylanana kadar, bu tür tüm atıfların, bu şekilde belirtilmiş olsun veya olmasın, potansiyel veya şüpheli siber güvenlik açıkları anlamına geldiği amaçlanmış ve anlaşılmıştır. Bir güvenlik açığının ifşasını tanıyıp tanımamak ve tanıma zamanlaması tamamen bizim takdirimize bağlıdır ve programı herhangi bir zamanda iptal edebiliriz. Testiniz herhangi bir yasayı ihlal etmemelidir.

Test Metodu

Aşağıdaki test yöntemlerine izin verilmez:

• Ağ hizmet reddi (DoS veya DDoS) testleri veya bir sisteme veya verilere erişimi engelleyen veya zarar veren diğer testler
• Fiziksel testler (örn. ofis erişimi, açık kapılar, kuyrukta bekleme), sosyal mühendislik (örn. phishing, vishing) veya diğer teknik olmayan güvenlik açığı testleri

Kapsam

Bu politika aşağıdaki sistemler ve hizmetler için geçerlidir:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• ansell.com'un diğer alt alan adları

Tüm müşteri başvuruları bu politikanın dışındadır.

Kapsam Dışı Güvenlik Açıkları

Güvenlik açıklarını bildirirken, lütfen (1) saldırı senaryosunu / istismar edilebilirliği ve (2) hatanın güvenlik etkisini göz önünde bulundurun. Aşağıdaki konular kapsam dışı olarak değerlendirilmektedir:

• Hassas eylemler içermeyen sayfalarda tıklama hırsızlığı
• Kimliği doğrulanmamış formlarda veya hassas eylemler içermeyen formlarda Siteler Arası İstek Sahteciliği (CSRF)
• Bir kullanıcının cihazına MITM veya fiziksel erişim gerektiren saldırılar
• Çalışan bir Kavram Kanıtı olmadan önceden bilinen savunmasız kütüphaneler
• Bir güvenlik açığı göstermeden Virgülle Ayrılmış Değerler (CSV) enjeksiyonu.
• SSL/TLS yapılandırmasında eksik en iyi uygulamalar.
• Hizmetimizin kesintiye uğramasına yol açabilecek her türlü faaliyet (DoS)
• Bir saldırı vektörü göstermeden / HTML / CSS'yi değiştiremeden içerik sahteciliği ve metin enjeksiyonu sorunları
• Kimlik doğrulaması olmayan uç noktalarda hız sınırlama veya kaba kuvvet sorunları
• İçerik Güvenliği Politikası'nda eksik en iyi uygulamalar
• Çerezlerde eksik Http Only veya Secure bayrakları
• Eksik e-posta en iyi uygulamaları (Geçersiz, eksik veya eksik SPF/DKIM/DMARC kayıtları vb.)
• Yalnızca güncel olmayan veya yamalanmamış tarayıcıların kullanıcılarını etkileyen güvenlik açıkları [En son yayınlanan kararlı sürümün 2 kararlı sürümden daha az gerisinde]
• Yazılım sürümü ifşası / Banner tanımlama sorunları / Açıklayıcı hata mesajları veya başlıkları (örn. yığın izleri, uygulama veya sunucu hataları)
• Tabnabbing
• Açık yönlendirme - ek bir güvenlik etkisi gösterilemediği sürece
• Beklenmedik kullanıcı etkileşimi gerektiren sorunlar

Yukarıda açıkça listelenmeyen herhangi bir hizmet, örneğin herhangi bir bağlı hizmet, kapsam dışıdır ve test için yetkilendirilmemiştir. Ayrıca, tedarikçilerimizin sistemlerinde bulunan siber güvenlik açıkları bu politikanın kapsamı dışındadır ve (varsa) ifşa politikalarına göre doğrudan tedarikçiye bildirilmelidir. Bir sistemin kapsam dahilinde olup olmadığından emin değilseniz, araştırmanıza başlamadan önce security.vdr@ansell.com adresinden bizimle iletişime geçin.

Diğer internet erişimli sistemler veya hizmetler geliştirmemize ve sürdürmemize rağmen, aktif araştırma ve testlerin yalnızca bu belgenin kapsamı dahilindeki sistemler ve hizmetler üzerinde yapılmasını istiyoruz. Kapsam dahilinde olmayan ve test edilmesi gerektiğini düşündüğünüz belirli bir sistem varsa, lütfen önce bunu görüşmek için bizimle iletişime geçin. Bu politikanın kapsamını zaman içinde genişletmeyi planlıyoruz.

Güvenlik açığı bildirme

Bu politika kapsamında sunulan bilgiler yalnızca savunma amaçlı olarak kullanılacaktır - siber güvenlik açıklarını azaltmak veya düzeltmek için. Açık izniniz olmadan adınızı veya iletişim bilgilerinizi paylaşmayacağız.

Güvenlik açığı raporlarını aşağıdaki formdan veya security.vdr@ansell.com adresinden kabul ediyoruz. Raporlar isimsiz olarak sunulabilir. İletişim bilgilerinizi paylaşırsanız, raporunuzun alındığını 3 iş günü içinde bildireceğiz.

PGP şifreli e-postaları desteklemiyoruz. Özellikle hassas bilgiler için, aşağıdaki HTTPS web formumuz aracılığıyla gönderin.

Sizden görmek istediklerimiz

Başvuruları öncelik sırasına koymamıza yardımcı olmak için raporlarınızı aşağıdaki şekilde hazırlamanızı öneririz:

• Siber güvenlik açığının keşfedildiği yeri ve istismarın potansiyel etkisini açıklayın.
• Siber güvenlik açığını yeniden oluşturmak için gereken adımların ayrıntılı bir açıklamasını sunun (kavram kanıtı komut dosyaları veya ekran görüntüleri yararlıdır) (uygun olduğu takdirde):
  o Mobil uygulama sürümü
  o Cihaz türü, işletim sistemi sürümü, tarayıcı sürümü
• Mümkünse İngilizce olsun.

Bizden ne bekleyebilirsiniz

İletişim bilgilerinizi bizimle paylaşmayı tercih ettiğinizde, sizinle mümkün olduğunca açık ve hızlı bir şekilde koordinasyon sağlamayı taahhüt ediyoruz.

• 5 iş günü içinde raporunuzun alındığını bildireceğiz.
• Elimizden geldiğince, siber güvenlik açığının varlığını size teyit edeceğiz ve çözümü geciktirebilecek sorunlar veya zorluklar da dahil olmak üzere, iyileştirme sürecinde hangi adımları attığımız konusunda mümkün olduğunca şeffaf olacağız
• Sorunları tartışmak için açık bir diyalog sürdüreceğiz.
• Bir güvenlik hatası veya güvenlik açığı bildirerek, bize raporunuzu herhangi bir amaç için kullanma hakkı verirsiniz.

Sorular

Bu politikaya ilişkin sorular security.vdr@ansell.com adresine gönderilebilir. Ayrıca sizi bu politikayı geliştirmeye yönelik önerilerinizle bizimle iletişime geçmeye davet ediyoruz.