Kontakt
Skontaktuj się z nami telefonicznie lub pocztą e-mail, aby uzyskać pomoc techniczną
Zabezpieczenia firmy Canon
Na tej stronie można znaleźć ważne informacje dotyczące zabezpieczeń firmy Canon.
Zasady dotyczące ujawniania problemów z zabezpieczeniami
Zasady dotyczące ujawniania problemów z zabezpieczeniami
Firma Canon poważnie traktuje bezpieczeństwo systemów informatycznych i ceni społeczność użytkowników zajmujących się bezpieczeństwem. Ujawnienie wszelkich słabości w zakresie zabezpieczeń pomaga nam dbać o bezpieczeństwo i prywatność naszych użytkowników i zachować status zaufanego partnera. W tych zasadach objaśniamy wymagania i mechanizmy, które są związane z ujawnianiem luk w zabezpieczeniach systemu informatycznego firmy Canon w regionie EMEA, a umożliwiają badaczom zgłaszanie luk w zabezpieczeniach w bezpieczny i etyczny sposób zespołowi ds. bezpieczeństwa informacji firmy Canon w regionie EMEA.
Zasady dotyczą wszystkich osób, w tym pracowników firmy Canon i osób spoza firmy.
Zakres
Zespół ds. bezpieczeństwa informacji firmy Canon w regionie EMEA działa na rzecz ochrony klientów i pracowników firmy Canon. W ramach tych działań zachęcamy badaczy zajmujących się kwestiami bezpieczeństwa do wspomagania firmy Canon poprzez aktywne zgłaszanie luk i słabości w zabezpieczeniach. Wyniki ustaleń można zgłaszać na stronie appsec@canon-europe.com.
| Uwzględnione domeny | |
|---|---|
| Oto lista domen objętych zasadami firmy Canon dotyczącymi ujawniania luk w zabezpieczeniach. | |
| *.canon-europe.com | *.canon.nl |
| *.canon.co.uk | *.canon.com.tr |
| *.canon.com.de | *.canon.com.sa |
| *.canon.com.ae | *.canon.com.jp |
| *.canon.com.ca | *.canon.no |
| *.canon.es | *.canon.se |
| *.canon.pl | *.canon.be |
| *.canon.pt | *.canon.it |
| *.canon.dk | *.canon.ch |
| *.canon.fi | *.canon.at |
| *.canon.fr | *.canon.ie |
| *.uaestore.canon.me.com | |
Zgłaszanie luki w zabezpieczeniach
Luki w zabezpieczeniach można zgłaszać pocztą e-mail: appsec@canon-europe.com. W wiadomości należy podać zwięzły opis szczegółów związanych z wykrytymi słabościami oraz przedstawić ewentualne dowody występowania problemów, pamiętając, że wiadomość zostanie przeanalizowana przez specjalistów ds. bezpieczeństwa firmy Canon. W szczególności należy umieścić w wiadomości następujące informacje:
- Rodzaj luki
- Instrukcje krok po kroku dotyczące sposobu odtworzenia usterki
- Podejście badacza
- Cały adres URL
- Obiekty (np. filtry lub pola danych), które mogą mieć związek z luką
- Bardzo przydatne są zrzuty ekranu.
- W zgłoszeniu słabości zabezpieczeń należy podać swój adres IP. Te dane będą mieć charakter poufny i posłużą do prześledzenia czynności testowych zgłaszającego i przejrzenia naszych rejestrów.
Nie akceptujemy raportów z automatycznych programów skanujących.
Nieakceptowane elementy:
- Luki związane z atakami wolumetrycznymi / DoS (czyli zarzucanie usługi nadmierną liczbą żądań)
- Słabości konfiguracji TLS (np. „słaba” obsługa pakietu szyfrów, obsługa TLS1.0, sweet32 itd.)
- Problemy dotyczące weryfikacji adresów e-mail używanych do tworzenia kont użytkowników związanych z myid.canon
- Ataki Self-XSS
- Skrypty zawartości mieszanej na stronie www.canon.*
- Niebezpieczne pliki cookie na stronie www.canon.*
- Ataki CSRF i CRLF, których wpływ jest minimalny
- XSS nagłówka hosta HTTP bez działającego modelu koncepcyjnego
- Niepełne/brakujące zabezpieczenia SPF/DMARC/DKIM
- Ataki socjotechniczne
- Błędy zabezpieczeń w zintegrowanych z firmą Canon witrynach zewnętrznych
- Techniki wyliczania danych sieciowych (np. przechwytywanie banerów, występowanie publicznie dostępnych stron diagnostycznych serwera)
- Raporty wskazujące, że nasze usługi nie są w pełni zgodne z „najlepszymi praktykami”
Jak postępujemy ze zgłoszeniami
Specjaliści ds. bezpieczeństwa informacji firmy Canon zbadają zgłoszenie i skontaktują się ze zgłaszającym w ciągu 5 dni roboczych.
Poufność danych
Dane osobowe zostaną użyte wyłącznie w celu podjęcia działań związanych ze zgłoszeniem. Nie udostępnimy danych osobowych innym osobom bez wyraźnej zgody zgłaszającego.
Zasady
Potencjalnie nielegalne działaniaOsoba odkrywająca i badająca lukę w zabezpieczeniach może podejmować działania, które są nielegalne i jako takie podlegają karze. W przypadku stosowania się do poniższych zasad dotyczących zgłaszania słabości naszych systemów informatycznych nie zgłosimy wykroczenia władzom i nie będziemy domagać się zadośćuczynienia.
Trzeba jednak pamiętać, że to prokuratura – a nie firma CANON – podejmuje decyzję o ściganiu, nawet jeśli my nie zgłosimy zdarzenia odpowiednim władzom. Oznacza to, że nie możemy zagwarantować zgłaszającemu, że nie będzie ścigany za popełnienia przestępstwa karalnego w trakcie analizowania słabości systemu.
Krajowe centrum bezpieczeństwa cybernetycznego przy Ministerstwie Bezpieczeństwa i Sprawiedliwości opracowało wytyczne dotyczące zgłaszania słabości systemów informatycznych. Nasze zasady opierają się na tych wytycznych. (https://english.ncsc.nl/)
Zasady ogólne
Należy postępować z najwyższą ostrożnością. Badając sprawę, należy stosować wyłącznie metody lub techniki niezbędne do znalezienia lub wykazania słabości systemu.
- Wykrytych słabości nie wolno używać do celów innych niż prowadzenie badania.
- Nie wolno używać socjotechnik w celu uzyskania dostępu do systemu.
- Nie wolno instalować żadnych mechanizmów typu „tylne wejście”, nawet w celu zademonstrowania usterki systemu. Takie mechanizmy zmniejszają bezpieczeństwo systemu.
- Nie wolno zmieniać żadnych informacji w systemie ani ich usuwać. Jeśli badacz chce skopiować informacje w celu przeprowadzenia analizy, powinien skopiować tylko niezbędną ilość danych. Jeśli wystarczy do tego jeden wpis, należy na tym poprzestać.
- Nie wolno w żaden sposób modyfikować systemu.
- Do systemu można przeniknąć tylko wtedy, gdy jest to bezwzględnie konieczne. Jeśli badaczowi uda się przeniknąć do systemu, nie może umożliwiać dostępu innym osobom.
- Do uzyskania dostępu do systemów nie wolno używać ataków typu brute force, takich jak wielokrotne wprowadzanie haseł.
- Do uzyskania dostępu nie wolno używać ataków typu DoS.
Często zadawane pytania
Czy otrzymam nagrodę za badanie?
Nie, badaczowi nie przysługuje prawo do wynagrodzenia.
Czy mogę upublicznić stwierdzone przeze mnie słabości i moje badanie?
Nie wolno upubliczniać słabości systemów informatycznych firmy Canon ani przeprowadzonych badań bez uprzedniego skonsultowania się z nami za pośrednictwem poczty e-mail: appsec@canon-europe.com. Możemy współpracować, aby zapobiegać nieuprawnionemu wykorzystywaniu danych przez przestępców. Skonsultuj się z naszym zespołem ds. bezpieczeństwa informacji, aby ustalić treść i zasady publikacji.
Czy mogę anonimowo zgłosić słabość systemu?
Tak, można to zrobić. Zgłaszając słabość systemu, badacz nie musi podawać swojego imienia i nazwiska ani danych kontaktowych. Badacz musi jednak pamiętać, że nie będziemy mogli omówić z nim dalszych działań, np. związanych ze zgłoszeniem lub dalszą współpracą.
Do czego nie należy używać tego adresu e-mail?
Adres appsec@canon-europe.com nie jest przeznaczony do wykonywania następujących czynności:
- Przesyłanie skarg dotyczących produktów lub usług firmy Canon
- Przesyłanie pytań lub skarg dotyczących dostępności stron internetowych firmy Canon
- Zgłaszanie oszustw lub podejrzeń popełnienia oszustwa
- Zgłaszanie fałszywych wiadomości e-mail lub wiadomości służących do wyłudzania informacji
- Zgłaszanie wirusów
