Információs biztonság

Biztonsági politika

A Bizerba SE & Co KG nagy jelentőséget tulajdonít informatikai rendszereinek és termékeinek biztonságának. Rendszereink gondos megvalósítása, konfigurálása és tesztelése ellenére sem lehet teljesen kizárni a lehetséges sérülékenységeket.

Felelősségteljes közzétételi politika

Ha informatikai rendszereinkben, webes alkalmazásainkban vagy termékeinkben sebezhetőséget fedez fel, kérjük, értesítsen minket. Azonnal intézkedünk a megtalált biztonsági rés lehető leggyorsabb elemzése és szükség esetén javítása érdekében. A Bizerba Felelősségteljes Közzétételi Szabályzata nem használható fel harmadik fél programjaiban sebezhetőségi jelentések készítésére vagy továbbítására a hozzájárulásunk nélkül.

Kizárt rendszerek vagy termékek

A következő termékek vagy rendszerek kifejezetten ki vannak zárva ebből a szabályzatból, kivéve, ha a tulajdonos beleegyezését adta:

  • Vevői berendezések és szoftverek: Minden fizikai berendezés, gép és szoftver, amely az ügyfél tulajdonában van. Ide tartoznak többek között a mérlegek, címkézők, vágókészülékek és egyéb Bizerba hardver- és szoftvertermékek, amelyek az ügyfél ellenőrzése és tulajdonában vannak.
  • Harmadik fél rendszerei: A harmadik fél által üzemeltetett és a Bizerba által közvetlenül nem ellenőrzött rendszerek és szolgáltatások.
.

Eljárás

Kérjük, vegye figyelembe a következő eljárást:

  • A biztonsági problémával kapcsolatos megállapításait küldje el e-mailben a security@bizerba.com címre. Az érzékeny információk biztonsága érdekében kérjük, használja PGP-kulcsunkat a dokumentáció titkosításához. Az optimális kommunikáció érdekében kérjük, használja az alábbi sablont.
  • Ne használja ki a sebezhetőséget letöltéssel, módosítással, adatok törlésével vagy kód feltöltésével.
  • Ne adjon ki semmilyen információt a sebezhetőségről harmadik félnek, kivéve, ha a Bizerba erre engedélyt ad.
  • Ne hajtson végre olyan támadásokat, amelyek veszélyeztethetik, megváltoztathatják vagy manipulálhatják informatikai rendszereinket, infrastruktúránkat vagy személyes adatainkat.
  • Kerülje a Bizerba elleni social engineering támadásokat (pl. adathalászat), (elosztott) szolgáltatásmegtagadási támadásokat, spam-eket vagy más hasonló támadásokat.
  • Adjon elegendő információt a probléma megértéséhez és elemzéséhez, és ajánljon fel egy kapcsolattartási lehetőséget a kérdésekhez.
.

Ígéretünk

  • Megteszünk mindent, hogy a lehető leggyorsabban elemezzük a sebezhetőséget, és szükség esetén lezárjuk azt.
  • Megerősítést kap arról, hogy bejelentése megérkezett, és visszajelzést kap a jelentéséről.
  • Ha a jelen biztonsági szabályzatnak megfelelően jár el, a bűnüldöző hatóságokat nem értesítjük a megállapításaival kapcsolatban. Ez nem vonatkozik arra az esetre, ha egyértelműen bűnügyi vagy hírszerzési szándékot követnek.
  • A bejelentését bizalmasan kezeljük, és személyes adatait az Ön hozzájárulása nélkül nem adjuk tovább harmadik félnek.
  • Az adatfeldolgozás időtartama alatt tájékoztatjuk Önt a sebezhetőség érvényességéről és megszüntetéséről.
.

A sebezhetőségek minősített bejelentése

A sebezhetőségek minősített bejelentése: Minden olyan tervezési vagy végrehajtási probléma jelenthető, amely reprodukálható és hatással van a biztonságra. Példák erre a következők

  • Privilégiumok eszkalációja
  • Kiosk üzemmód kitörése
  • Tulajdonságokhoz vagy fiókokhoz való jogosulatlan hozzáférés
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Bizonytalan közvetlen tárgyhivatkozás
  • Távoli kódvégrehajtás (RCE) - Beolvasási hibák
  • Információ kiszivárgás és nem megfelelő hibakezelés
  • Adatok/információk kiszivárgása
  • Aktívan kihasználható kiskapuk
  • Nem engedélyezett rendszerhasználat
  • Hibás konfiguráció
  • Adatok/információk kiszivárgása

Nem minősített sebezhetőségek

A következő sebezhetőségek nem tartoznak a Bizerba sebezhetőség közzétételi politikájának hatálya alá, és nem jelenthetők:

  • Támadások, amelyek fizikai hozzáférést igényelnek az eszközhöz
  • Formanyomtatványok hiányzó CSRF tokenekkel, feltéve, hogy a kritikusság nem haladja meg a Common Vulnerability Scoring System (CVSS) 6. szintjét
  • Szolgáltatás-megvonásos támadások (DoS/DDoS)
  • Elmaradó biztonsági fejlécek, amelyek nem vezetnek közvetlenül kihasználható sebezhetőséghez
  • A sebezhetőnek ismert könyvtár használata a kihasználhatóság aktív bizonyítása nélkül
  • Magyarázó dokumentáció nélküli automatikus eszközökből vagy vizsgálatokból származó jelentések
  • A Bizerba és szerződő partnerei személyei vagy létesítményei elleni társadalmi mérnöki tevékenység
  • SPAM, robotok, tömeges regisztráció
  • A legjobb gyakorlatok benyújtása nélkül
  • A sebezhető és " gyenge" titkosítási csomagok/ titkosítók

Formátum sablon a sebezhetőség jelentéshez

  1. A sebezhetőség címe/neve
  2. A sebezhetőség típusa
  3. A sebezhetőség rövid magyarázata (technikai részletek nélkül)
  4. Az érintett termék/szolgáltatás/IT rendszer
    - Termék
    - Verzió/modell (pl. eszközútlevéllel)
  5. Technikai részletek és a sebezhetőség leírása
  6. A koncepció igazolása
  7. Szükség esetén mutasson rá a lehetséges megoldásra
  8. A szerző és elérhetőségek
Lépjen kapcsolatba velünk