Політика безпеки

Просимо дотримуватися таких правил:

• Надішліть свої висновки щодо проблеми безпеки електронною поштою на адресу security@bizerba-s.sbs. Просимо використовувати наш ключ PGP для шифрування документації, щоб забезпечити безпеку конфіденційної інформації. Для полегшення комунікації просимо використовувати наведений нижче шаблон повідомлення.
• Не використовуйте виявлену вразливість для завантаження, модифікації, видалення даних або передачі коду.
• Не розголошуйте інформацію про вразливість третім особам, якщо компанія Bizerba не надасть на це згоди.
• Не здійснюйте дій, які можуть порушити, змінити або маніпулювати нашими ІТ-системами, інфраструктурою або персональними даними.
• Уникайте соціотехнічних атак (наприклад, фішингу), атак типу (Distributed) Denial-of-Service, спаму та інших подібних дій, спрямованих проти компанії Bizerba.
• Надайте достатньо інформації, щоб проблему можна було зрозуміти та проаналізувати, а також забезпечте можливість зв’язатися з вами для отримання додаткової інформації.

• Ми докладаємо всіх зусиль, щоб якомога швидше проаналізувати виявлену вразливість і, за необхідності, усунути її.
• Ви отримаєте підтвердження про прийняття повідомлення та зворотний зв’язок щодо звіту.
• Якщо Ви будете дотримуватися цієї політики безпеки, правоохоронні органи не будуть проінформовані про Ваші висновки. Однак це не стосується випадків, коли будуть виявлені явно злочинні або розвідувальні наміри.
• Ми розглядаємо Ваше повідомлення як конфіденційне та не передаємо особисті дані третім особам без Вашої згоди.
• Під час розгляду повідомлення ми інформуватимемо вас про підтвердження наявності вразливості та про заходи з її усунення.

Будь-яку проблему, пов’язану з проектом або впровадженням, яку можна відтворити і яка впливає на безпеку, можна повідомити. Приклади включають:

• Ескалація прав доступу
• Вихід із режиму кіоску
• Несанкціонований доступ до властивостей або облікових записів
• Міжсайтова підробка запитів (CSRF)
• Міжсайтовий скриптинг (XSS)
• Небезпечні прямі посилання на об’єкти
• Виконання віддаленого коду (RCE) — помилки ін'єкцій
• Витік інформації та неналежне управління помилками
• Можливість витоку даних/інформації
• Активно використовувані «задні двері» (backdoors)
• Можливість несанкціонованого використання системи
• Неправильна конфігурація
• Витік даних/інформації

Наступні уразливості не підпадають під дію Політики розкриття уразливостей (Vulnerability Disclosure Policy) компанії Bizerba і не повинні повідомлятися:

• Атаки, що вимагають фізичного доступу до пристрою
• Форми без токенів CSRF, якщо рівень критичності не перевищує 6 за шкалою Common Vulnerability Scoring System (CVSS)
• Атаки типу «відмова в обслуговуванні» (DoS/DDoS)
• Відсутність заголовків безпеки, що не призводить безпосередньо до використання уразливості
• Використання відомої вразливої бібліотеки без активного доказу можливості її експлуатації
• Звіти від автоматичних інструментів або сканувань без пояснювальної документації
• Соціотехнічні атаки (Social Engineering), спрямовані проти осіб або установ компанії Bizerba та їхніх контрагентів
• СПАМ, боти, масова реєстрація
• Відсутність повідомлень щодо найкращих практик
• Використання вразливих та «слабких» наборів шифрів (Cipher-Suites/Chiffren)