Information Security

Polityka bezpieczeństwa

Bizerba SE & Co. KG przywiązuje najwyższą wagę do bezpieczeństwa swoich systemów technologii informacyjnej oraz produktów.
Pomimo starannego wdrażania, konfiguracji i testowania naszych systemów, nie można całkowicie wykluczyć potencjalnych luk w zabezpieczeniach.

Polityka odpowiedzialnego ujawniania (Responsible Disclosure Policy)

Jeśli odkryją Państwo luki w naszych systemach IT, aplikacjach internetowych lub produktach, prosimy o ich zgłoszenie. Niezwłocznie podejmiemy działania mające na celu jak najszybszą analizę oraz – w razie potrzeby – usunięcie wykrytej luki. Polityka odpowiedzialnego ujawniania firmy Bizerba nie może być wykorzystywana do opracowywania ani przekazywania zgłoszeń dotyczących luk w programach osobom trzecim bez naszej zgody.

Systemy lub produkty wyłączone

Następujące produkty lub systemy są wyłączone z niniejszej polityki, o ile nie istnieje zgoda właściciela:

  • Urządzenia i oprogramowanie klienta: Wszystkie fizyczne urządzenia i maszyny oraz oprogramowanie będące własnością klienta. Zasada ta obejmuje, lecz nie ogranicza się do, wag, etykieciarek, krajalnic oraz innych produktów i oprogramowania firmy Bizerba, które znajdują się pod kontrolą i są własnością klienta.
  • Systemy firm trzecich: Systemy i usługi obsługiwane przez podmioty trzecie, które nie są bezpośrednio kontrolowane przez Bizerba.

Procedura

Prosimy o przestrzeganie następujących zasad:

  • Przekaż swoje ustalenia dotyczące problemu bezpieczeństwa drogą mailową na adres security@bizerba.com. Prosimy o użycie naszego klucza PGP do zaszyfrowania dokumentacji, aby zapewnić bezpieczeństwo wrażliwych informacji. Dla usprawnienia komunikacji prosimy o korzystanie z poniższego wzoru zgłoszenia.
  • Nie wykorzystuj wykrytej luki poprzez pobieranie, modyfikowanie, usuwanie danych ani przesyłanie kodu.
  • Nie udostępniaj informacji o luce osobom trzecim, chyba że firma Bizerba wyrazi na to zgodę.
  • Nie przeprowadzaj działań mogących naruszyć, zmienić lub zmanipulować nasze systemy IT, infrastrukturę lub dane osobowe.
  • Unikaj ataków socjotechnicznych (np. phishing), ataków typu (Distributed) Denial-of-Service, spamu oraz innych podobnych działań wymierzonych w firmę Bizerba.
  • Podaj wystarczające informacje, aby problem mógł zostać zrozumiany i przeanalizowany, oraz zapewnij możliwość kontaktu w celu uzyskania dodatkowych informacji.

Nasze zobowiązanie

  • Dokładamy wszelkich starań, aby jak najszybciej przeanalizować wykrytą lukę i – w razie potrzeby – ją usunąć.
  • Otrzymają Państwo potwierdzenie przyjęcia zgłoszenia oraz informację zwrotną dotyczącą raportu.
  • Jeśli będą Państwo postępować zgodnie z niniejszą polityką bezpieczeństwa, organy ścigania nie zostaną poinformowane o Państwa ustaleniach. Nie dotyczy to jednak przypadków, gdy wykryte zostaną wyraźnie przestępcze lub wywiadowcze intencje.
  • Traktujemy Państwa zgłoszenie jako poufne i nie przekazujemy danych osobowych osobom trzecim bez Państwa zgody.
  • W trakcie procesu rozpatrywania zgłoszenia będziemy informować Państwa o potwierdzeniu istnienia luki oraz o działaniach naprawczych.

Kwalifikowane zgłoszenie luk bezpieczeństwa

Każdy problem związany z projektem lub implementacją, który jest możliwy do powtórzenia i wpływa na bezpieczeństwo, może zostać zgłoszony. Przykłady obejmują:

  • Eskalcję uprawnień
  • Wyjście z trybu kiosku
  • Nieautoryzowany dostęp do właściwości lub kont
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Niebezpieczne bezpośrednie odwołania do obiektów
  • Wykonanie zdalnego kodu (RCE) – błędy wstrzyknięć
  • Wycieki informacji oraz niewłaściwe zarządzanie błędami
  • Możliwość wyprowadzenia danych/informacji
  • Aktywnie wykorzystywane tylne furtki (backdoors)
  • Możliwość nieautoryzowanego korzystania z systemu
  • Błędna konfiguracja
  • Wycieki danych/informacji

Niekwalifikowane luki bezpieczeństwa

Następujące luki nie podlegają polityce ujawniania luk bezpieczeństwa (Vulnerability Disclosure Policy) Bizerba i nie powinny być zgłaszane:

  • Ataki wymagające fizycznego dostępu do urządzenia
  • Formularze bez tokenów CSRF, o ile krytyczność nie przekracza poziomu 6 w Common Vulnerability Scoring System (CVSS)
  • Ataki typu Denial-of-Service (DoS/DDoS)
  • Brak nagłówków bezpieczeństwa, które nie prowadzą bezpośrednio do wykorzystania luki
  • Użycie znanej podatnej biblioteki bez aktywnego dowodu możliwości jej wykorzystania
  • Raporty z automatycznych narzędzi lub skanów bez wyjaśniającej dokumentacji
  • Ataki socjotechniczne (Social Engineering) skierowane przeciwko osobom lub instytucjom Bizerba oraz ich kontrahentom
  • SPAM, boty, masowa rejestracja
  • Brak zgłoszeń dotyczących najlepszych praktyk
  • Używanie podatnych i „słabych” zestawów szyfrów (Cipher-Suites/Chiffren)

Wzór zgłoszenia luki bezpieczeństwa

  • Tytuł/nazwa luki bezpieczeństwa
  • Typ luki bezpieczeństwa
  • Krótki opis luki (bez szczegółów technicznych)
  • Dotknięty produkt/usługa/system IT
    - Produkt
    - Wersja/model (np. według dokumentacji urządzenia)
  • Szczegóły techniczne i opis luki
  • Proof of Concept (dowód słuszności koncepcji)
  • Opcjonalnie: propozycja możliwego rozwiązania
Napisz do nas!