iStock_80038439_XXXLARGE

A Canon és a biztonság

Ezen az oldalon a Canon termékek biztonságával kapcsolatos fontos információkat olvashat


Biztonsági rések feltárására vonatkozó irányelvek

A Canon komolyan veszi IT-rendszereinek biztonságát, és nagyra értékeli a biztonsági közösséget. Az esetleges biztonsági hiányosságok feltárása révén megbízható partnerként cselekedhetünk, ezáltal pedig gondoskodhatunk felhasználóink biztonságáról és az adataik védelméről. Ez a szabályzat ismerteti a Canon EMEA IT-rendszer biztonsági réseinek feltárásával kapcsolatos követelményeket és mechanizmusokat, amelyek lehetővé teszik a kutatók számára, hogy biztonságos és etikus módon jelenthessék a biztonsági réseket a Canon EMEA információbiztonsági csapatának.

Ez a szabályzat mindenkire vonatkozik, beleértve a Canon belső munkatársait és a külső résztvevőket is.


Hatókör

A Canon EMEA információbiztonsági csapata elkötelezett a Canon ügyfeleinek és alkalmazottainak védelme mellett. Ezen elkötelezettség részeként biztonsági kutatókat hívunk meg, hogy a biztonsági rések és hiányosságok proaktív bejelentésével segítsék a Canon védelmét. Részletes észrevételeit a product-security@canon-europe.com oldalon jelentheti be


Érintett tartományok

Ez a lista tartalmazza a Canon biztonsági réssel kapcsolatos közzétételi szabályzatának részét képező tartományokat.

*.canon-europe.com

*.canon.nl

*.canon.co.uk

*.canon.com.tr

*.canon.com.de

*.canon.com.sa

*.canon.com.ae

*.canon.com.jp

*.canon.com.ca

*.canon.no

*.canon.es

*.canon.se

*.canon.pl

*.canon.be

*.canon.pt

*.canon.it

*.canon.dk

*.canon.ch

*.canon.fi

*.canon.at

*.canon.fr

*.canon.ie

*.uaestore.canon.me.com

 



Biztonsági rés jelentése

A hiányosságokat e-mailben is bejelentheti nekünk: product-security@canon-europe.com. Kérjük, adja meg a tömören, de a lehető legegyértelműbben és legrészletesebben e-mailben, hogy milyen hiányosságo(ka)t talált, és adjon meg minden lehetséges bizonyítékot, szem előtt tartva, hogy az üzenetet a Canon biztonsági szakemberei fogják áttekinteni. Az e-mail különösen a következőket tartalmazza:

  • A biztonsági rés típusa
  • A biztonsági rés reprodukálásának lépésről lépésre történő leírása
  • Az alkalmazott megközelítés
  • A teljes URL
  • Az esetlegesen érintett objektumok (mint a szűrők vagy beviteli mezők)
  • A képernyőképeket nagyra értékeljük
  • Adja meg az IP-címét a hiányosságról szóló jelentésben. Ezt bizalmasan kezeljük az Ön tesztelési tevékenységének nyomon követése és a naplók általunk történő áttekintése során

Nem fogadjuk el automatizált szoftverszkennerek eredményét.


Mit nem fogadunk el:
  • Volumetrikus/szolgáltatásmegtagadási sebezhetőségek (azaz egyszerűen túlterhelik a szolgáltatásunkat nagy mennyiségű kéréssel)
  • TLS konfigurációs hiányosságok (pl. „gyenge” titkosítócsomag-támogatás, TLS1.0 támogatás, sweet32 stb.)
  • A myid.canon-hez kapcsolódó felhasználói fiókok létrehozásához használt e-mail-címek ellenőrzésével kapcsolatos problémák
  • „Ön” XSS
  • Vegyes tartalmú szkriptek a www.canon.* weboldalon
  • Nem biztonságos cookie-k a www.canon.* weboldalon
  • CSRF- és CLRF-támadások, ahol a hatás minimális
  • XSS HTTP-állomásfejléc működő megvalósíthatósági példa nélkül
  • Hiányos/hiányzó SPF/DMARC/DKIM
  • Pszichológiai manipuláción alapuló támadások
  • Biztonsági hibák harmadik feleknek a Canonnal integrált webhelyein
  • Hálózati adatok számbavételi technikái (pl. banner grabbing, nyilvánosan elérhető szerverdiagnosztikai oldalak létezése)
  • Jelentések, amelyek azt mutatják, hogy szolgáltatásaink nem illeszkednek teljes mértékben a „legjobb gyakorlathoz”

Mit teszünk az Ön jelentésével

A Canon információbiztonsági szakértői megvizsgálják a jelentést, és 5 munkanapon belül felveszik Önnel a kapcsolatot.


Az Ön személyes adatai

Személyes adatait kizárólag arra használjuk fel, hogy az Ön jelentése alapján intézkedéseket tegyünk. Az Ön kifejezett engedélye nélkül nem osztjuk meg személyes adatait másokkal.


Szabályok

Potenciálisan illegális tevékenységek

Ha hiányosságot fedez fel és azt vizsgálja, előfordulhat, hogy ezáltal olyan tevékenységet végez, ami büntethető. Ha betartja az alábbi szabályokat és elveket IT-rendszereink hiányosságainak jelentésére vonatkozóan, nem jelentjük be a jogsértést a hatóságoknak, és nem nyújtunk be kárigényt.

Fontos azonban tudni, hogy az ügyészség – nem a CANON – dönthet arról, hogy vádat emelnek-e még akkor is, ha mi nem jelentettük be a jogsértést a hatóságoknak. Ez azt jelenti, hogy nem tudjuk garantálni, hogy Önt nem fogják felelősségre vonni, ha egy hiányosság kivizsgálásakor büntetendő cselekményt követ el.

A Biztonsági és Igazságügyi Minisztérium Nemzeti Kiberbiztonsági Központja iránymutatásokat hozott létre az IT-rendszerek hiányosságainak jelentésére. Szabályaink ezen irányelveken alapulnak. (https://english.ncsc.nl/)


Általános alapelvek

Vállaljon felelősséget, és cselekedjen különös gondossággal és körültekintéssel. Az ügy kivizsgálásakor csak olyan módszereket vagy technikákat alkalmazzon, amelyek a hiányosságok megtalálásához vagy bizonyításához szükségesek.

  • Ne használja fel az Ön által felfedett hiányosságokat a saját specifikus vizsgálatának céljain kívül semmilyen más célra.
  • Ne alkalmazzon pszichológiai manipulációt a rendszerhez való hozzáféréshez.
  • Ne telepítsen semmilyen hátsó ajtót – még a rendszer sebezhetőségének demonstrálására sem. A hátsó ajtók gyengítik a rendszer biztonságát.
  • Ne módosítsa vagy törölje a rendszerben lévő adatokat. Ha a vizsgálathoz adatokat kell másolnia, soha ne másoljon többet, mint amennyire szüksége van. Ha egy rekord elégséges a bizonyításhoz, ne hozzon létre többet.
  • Semmilyen módon ne változtassa meg a rendszert.
  • Csak akkor hatoljon be egy rendszerbe, ha feltétlenül szükséges. Ha sikerül behatolnia egy rendszerbe, ne ossza meg a hozzáférést másokkal.
  • A rendszerekhez való hozzáféréshez ne használjon találgatásos támadási technikákat, például jelszavak többszöri megadását.
  • A hozzáférés érdekében ne használjon szolgáltatásmegtagadást (DoS) okozó támadásokat

Gyakran ismételt kérdések

Kapok juttatást a vizsgálatomért?

Nem, Ön nem jogosult semmilyen kompenzációra.

Szabad-e nyilvánosságra hoznom az általam talált gyenge pontokat és a vizsgálatomat?

Soha ne hozza nyilvánosságra a Canon informatikai rendszereinek gyenge pontjait vagy a vizsgálatát anélkül, hogy előzetesen ne konzultálna velünk a product-security@canon-europe.com e-mail-címen. Együtt megakadályozhatjuk, hogy a bűnözők visszaéljenek az Ön adataival. Egyeztessen az információbiztonsági csapatunkkal, hogy közösen határozzunk a nyilvánosságra hozatal mikéntjén.

Névtelenül is jelenthetek hiányosságot?

Igen. Hiányosságról szóló jelentés esetén nem kell megemlítenie a nevét és elérhetőségét. Kérjük, vegye figyelembe, hogy nem tudunk majd egyeztetni Önnel az utánkövetési intézkedésekről, például arról, hogy mit teszünk a jelentésével vagy a további együttműködéssel kapcsolatban.

Mire nem használhatom ezt az e-mail-címet?

A product-security@canon-europe.com e-mail-cím nem a következő célokra szolgál:

  • A Canon termékekkel vagy szolgáltatásokkal kapcsolatos panaszok benyújtása
  • A Canon webhelyek elérhetőségével kapcsolatos kérdések vagy panaszok beküldése
  • Csalás vagy csalás gyanújának bejelentése
  • Hamis e-mailek vagy adathalász e-mailek jelentése
  • Vírusok jelentése

További ajánlatok…