Vylúčené systémy alebo produkty
Nasledujúce produkty alebo systémy sú z tejto politiky výslovne vylúčené, ak ich vlastník neposkytol súhlas:
- Zariadenia a softvér zákazníka: Všetky fyzické zariadenia, stroje a softvér, ktoré vlastní zákazník. Vrátane, ale nielen, váh, etiketovačov, krájačov a ďalších hardvérových a softvérových produktov Bizerba, ktoré sú pod kontrolou a vlastníctvom zákazníka.
- Systémy tretích strán: Systémy a služby prevádzkované tretími stranami, ktoré nie sú priamo pod kontrolou Bizerba.
Postup
Please note the following procedure:
- Send your findings on the security issue by email to security@bizerba.com . Please use our PGP key to encrypt your documentation to ensure the security of sensitive information. For optimized communication, please use the template below.
- Do not exploit the vulnerability by downloading, modifying, deleting data or uploading code.
- Do not disclose any information about the vulnerability to third parties unless authorized by Bizerba.
- Do not carry out any attacks that could compromise, change or manipulate our IT systems, infrastructure or personal data.
- Avoid social engineering attacks (e.g. phishing), (distributed) denial-of-service attacks, spam or other such attacks against Bizerba.
- Provide sufficient information to be able to understand and analyze the problem and offer a contact option for queries.
Náš záväzok
- Usilujeme sa o čo najrýchlejšiu analýzu bezpečnostného rizika a jeho odstránenie, ako len to je možné.
- Obdržíte potvrdenie o prijatí vášho hlásenia a spätnú väzbu k nemu.
- Ak budete postupovať v súlade s touto bezpečnostnou politikou, nebudú s vašimi zisteniami spojené žiadne trestnoprávne dôsledky. Toto neplatí, ak je zrejmý kriminálny alebo spravodajský úmysel.
- Vaše hlásenie bude spracované dôverne a osobné údaje nebudú bez vášho súhlasu poskytnuté tretím stranám.
- Budeme vás informovať o platnosti a odstránení bezpečnostného rizika počas vybavovania vašej žiadosti.
Kvalifikované hlásenia bezpečnostných rizík
Je možné hlásiť akékoľvek bezpečnostné riziká spôsobené chybou v návrhu alebo implementácii, ak sú reprodukovateľné. Príklady zahŕňajú:
- Eskalácia oprávnení
- Únik z kiosk režimu
- Neoprávnený prístup k funkciám alebo účtom
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Nezabezpečený priamy prístup k objektom
- Vzdialené spustenie kódu (RCE) – chyby injekcie
- Únik informácií a nesprávne spracovanie chýb
- Exfiltrácia dát/informácií
- Aktívne zneužiteľné zadné vrátka
- Neoprávnené používanie systému
- Nesprávne konfigurácie
- Úniky dát/informácií
Nezahrnutá bezpečnostní rizika
Nasledujúce bezpečnostné riziká nie sú predmetom politiky zodpovedného oznamovania Bizerba a nemajú byť hlásené:
- Útoky vyžadujúce fyzický prístup k zariadeniu
- Formuláre bez CSRF tokenu, ak kritickosť nepresahuje úroveň 6 podľa CVSS
- Útoky typu odmietnutie služby (DoS/DDoS)
- Chýbajúce bezpečnostné hlavičky, ktoré priamo nevedú k zneužiteľnému riziku
- Použitie knižnice známej ako bezpečnostné riziko bez dôkazu možnosti jej zneužitia
- Hlásenia z automatizovaných nástrojov alebo skenov bez sprievodnej dokumentácie
- Sociálne inžinierstvo proti osobám alebo zariadeniam Bizerba a jej dodávateľov
- SPAM, boti, hromadné registrácie
- Nezaslanie návrhov na najlepšie postupy
- Používanie rizikových alebo slabých šifrovacích sád
Šablóna na hlásenie zraniteľnosti
- Názov bezpečnostného rizika
- Typ bezpečnostného rizika
- Stručné vysvetlenie bezpečnostného rizika (bez technických detailov)
- Postihnutý produkt/služba/IT systém
- Produkt
- Verzia/model - Technické detaily a opis bezpečnostného rizika
- Dôkaz konceptu (proof of concept)
- V prípade potreby návrh možného riešenia
- Autor a kontaktné údaje