iStock_80038439_XXXLARGE

Zabezpečení Canon

Na této stránce naleznete důležité informace ohledně zabezpečení Canon


Zásady zpřístupnění informací o bezpečnosti

Společnost Canon bere zabezpečení svých informačních systémů vážně a váží si bezpečnostní komunity. Informace o slabinách v zabezpečení nám pomáhají být důvěryhodným partnerem a zajistit bezpečnost a soukromí našich uživatelů. Tato politika vysvětluje potřebu a mechanismus související s odhalováním zranitelnosti informačních systémů společnosti Canon EMEA, který umožňuje výzkumníkům bezpečně a eticky nahlásit týmu pro zabezpečení informací společnosti Canon EMEA zranitelná místa zabezpečení.

Tato politika se vztahuje na všechny, včetně interních i externích pracovníků společnosti Canon.


Rozsah

Tým pro zabezpečení informací společnosti Canon se usilovně snaží chránit své zaměstnance a zákazníky. V rámci této snahy zveme výzkumníky v oblasti zabezpečení, aby pomohli chránit společnost Canon proaktivním hlášením bezpečnostních nedostatků a slabin. Podrobnosti svých zjištění můžete nahlásit na e-mailovou adresu appsec@canon-europe.com


Zahrnuté domény
Zde je seznam domén, které jsou součástí politiky informování o zranitelnosti společnosti Canon.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Nahlašování zranitelnosti

Slabiny můžete nahlásit na naši e-mailovou adresu appsec@canon-europe.com. V e-mailu uveďte stručně, jasně a podrobně, jaké slabiny jste našli a poskytněte veškeré důkazy, které máte k dispozici. Mějte na paměti, že vaši zprávu budou hodnotit specialisté zabezpečení společnosti Canon. Ve svém e-mailu uveďte zejména následující:

  • Typ zranitelnosti
  • Pokyny krok za krokem, jak slabinu reprodukovat
  • Přístup, jaký jste zaujali
  • Celou adresu URL
  • Položky (filtry nebo zadaná pole), které mohly být zahrnuty
  • Velmi nápomocné budou i snímky obrazovky
  • Do hlášení o slabině zadejte svou IP adresu. Ta zůstane soukromá a bude použita pouze ke sledování vašich zkušebních činností a ke kontrole záznamů z naší strany.

Nepřijímáme výstup z automatizovaných softwarových skenerů.


Co nepřijímáme:
  • Zranitelnosti Denial of Service / volumetrické zranitelnosti (např. přetížení našich služeb vysokým počtem požadavků)
  • Slabiny v konfiguraci TLS (např.: podpora „slabého“ šifrování, podpora protokolu TLS1.0 či sweet32 atd.)
  • Problémy týkající se ověření e-mailových adres vytvořených k tvorbě uživatelských účtů souvisejících s myid.canon
  • „Vlastní“ XSS
  • Skripty Mixed Content Scripts na adrese www.canon.*
  • Nezabezpečené soubory cookie na adrese www.canon.*
  • Útoky CSRF a CRLF s minimálním dopadem
  • Útok XSS na hostitele HTTP bez platného ověření koncepce
  • Neúplný/chybějící SPF/DMARC/DKIM
  • Útoky sociálního inženýrství
  • Bezpečnostní chyby na webových stránkách třetích stran integrovaných s webovou stránkou Canon
  • Techniky pro sběr síťových dat (např. grabbing bannerů, existence veřejně dostupných stránek serverové diagnostiky)
  • Hlášení naznačující, že naše služby plně neodpovídají „osvědčeným postupům“

Jak naložíme s vaším hlášením

Odborníci na informační bezpečnost společnosti Canon vaše hlášení prošetří a kontaktují vás do 5 pracovních dní.


Vaše soukromí

Vaše osobní údaje využijeme pouze k jednání na základě vašeho hlášení. Bez vašeho výslovného svolení nebudeme vaše osobní údaje s nikým sdílet.


Pravidla

Potenciálně nezákonné činy

Pokud objevíte slabinu a začnete ji prošetřovat, můžete se dopustit přestupku. Pokud budete postupovat podle níže uvedených pravidel a zásad pro hlášení nedostatků v našich informačních systémech, váš přestupek neoznámíme úřadům a nepodáme stížnost.

Je však důležité mít na paměti, že státní zastupitelství – nikoli CANON – může rozhodnout, zda budete stíháni či nikoli, i když jsme váš přestupek neoznámili úřadům. To znamená, že nemůžeme zaručit, že nebudete stíháni, pokud se při vyšetřování slabiny dopustíte trestného činu.

Národní centrum pro kybernetickou bezpečnost ministerstva bezpečnosti a spravedlnosti vytvořilo pokyny pro hlášení nedostatků v informačních systémech. Naše pravidla se řídí těmito pokyny. (https://english.ncsc.nl/)


Obecné zásady

Buďte zodpovědní a jednejte velmi opatrně a obezřetně. Při prošetřování záležitosti používejte pouze metody nebo techniky, které jsou nutné k nalezení nebo prokázání slabých stránek.

  • Objevené slabiny nepoužívejte pro jiné účely, než je vaše vlastní vyšetřování.
  • Nepoužívejte sociální inženýrství k získání přístupu k systému.
  • Neinstalujte žádná zadní vrátka – ani jako důkaz zranitelnosti systému. Zadní vrátka pouze oslabí bezpečnost systému.
  • Neměňte ani nesmažte žádné informace v systému. Pokud pro účely svého vyšetřování potřebujete kopírovat informace, nikdy nekopírujte více, než potřebujete. Pokud stačí jeden záznam, dále nepokračujte.
  • Žádným způsobem neměňte systém.
  • Systém infiltrujte pouze v nezbytně nutných případech. Pokud se vám podaří systém infiltrovat, nesdílejte přístup s ostatními.
  • K získání přístupu k systémům nepoužívejte techniky hrubé síly, například opakované zadávání hesel.
  • K získání přístupu nepoužívejte útoky typu Denial of Service (DoS)

Často kladené dotazy

Obdržím za své vyšetřování odměnu?

Ne, na žádnou odměnu nemáte nárok.

Mohu zveřejnit slabiny, které při vyšetřování objevím?

Nikdy nesdílejte informace o nedostatcích v informačních systémech Canon nebo o vyšetřování, aniž byste nás nejprve konzultovali prostřednictvím e-mailové adresy appsec@canon-europe.com. Můžeme spolupracovat, abychom zabránili zločincům ve zneužívání vašich údajů. Poraďte se s naším týmem pro zabezpečení informací a společně můžeme pracovat na zveřejnění.

Mohu slabinu nahlásit anonymně?

Ano, můžete. Při nahlašování slabiny nemusíte uvádět své jméno a kontaktní údaje. Uvědomte si však, že s vámi nebudeme moci spolupracovat a konzultovat následná opatření, např. co děláme s vaší zprávou.

K čemu nemám používat tuto e-mailovou adresu?

E-mailová adresa appsec@canon-europe.com není určena:

  • K odesílání stížností na produkty nebo služby Canon
  • K odesílání dotazů nebo stížností na dostupnost webových stránek Canon.
  • K nahlašování podvodu nebo podezření z podvodu
  • K nahlašování falešných a phishingových e-mailů
  • K nahlašování virů

Mohlo by se vám hodit...