iStock_80038439_XXXLARGE

Безопасность Canon

На этой странице вы найдете важную информацию о безопасности Canon


Политика обеспечения безопасности

Мы в Canon серьезно относимся к безопасности ИТ-систем и ценим сообщество по безопасности. Информация об уязвимостях помогает нам обеспечивать безопасность и конфиденциальность наших пользователей, а также поддерживать репутацию надежного партнера. В этой политике разъясняются требования и механизмы распространения информации об уязвимостях в ИТ-системах Canon в регионе EMEA, которые позволяют специалистам безопасно и этично сообщать об уязвимостях команде по информационной безопасности Canon в регионе EMEA.

Настоящая политика распространяется на всех, включая внутренних и внешних участников Canon.


Область

Команда по информационной безопасности Canon в регионе EMEA стремится защищать клиентов и сотрудников Canon. В рамках этого обязательства мы приглашаем специалистов по исследованиям в области безопасности, чтобы они помогли защитить Canon с помощью активного поиска и выявления уязвимостей в системах защиты. Информацию о результатах поиска вы можете сообщить по адресу: appsec@canon-europe.com


Домены
Это список доменов, включенных в политику распространения информации об уязвимостях Canon.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Сообщение об уязвимости

Вы можете сообщить нам об уязвимостях по электронной почте: appsec@canon-europe.com. Как можно более четко и подробно укажите в сообщении электронной почты, какие уязвимости вы обнаружили, и предоставьте любые имеющиеся доказательства с учетом того, что сообщение будет рассмотрено специалистами Canon по безопасности. В частности, укажите следующее в своем сообщении электронной почты:

  • Тип уязвимости
  • Пошаговые инструкции по воспроизведению уязвимости
  • Подход, который вы использовали
  • URL-адрес целиком
  • Объекты (такие как фильтры или поля ввода), которые могли быть задействованы
  • Снимки экрана будут очень полезны
  • Укажите свой IP-адрес в отчете об уязвимости. Эта информация будет храниться конфиденциально для отслеживания ваших действий по тестированию и просмотра логов с нашей стороны.

Мы не принимаем выходные данные автоматизированных программных сканеров.


Не принимаются:
  • Количественные уязвимости / DoS-уязвимости, приводящие к отказу в обслуживании (т.е. отправка в нашу службу большого количества запросов)
  • Уязвимости конфигурации TLS (например, поддержка "слабого" набора шифров, поддержка TLS1.0, sweet32 и т. д.)
  • Проблемы, связанные с проверкой адресов электронной почты, которые используются для создания учетных записей пользователей, связанных с myid.canon
  • "Self" XSS
  • Скрипты смешанного контента на сайте www.canon.*
  • Небезопасные файлы cookie на сайте www.canon.*
  • Атаки CSRF и CRLF, последствия которых минимальны
  • XSS-атаки с подменой HTTP-заголовка Host без подтверждения концепции
  • Неполный/нет SPF/DMARC/DKIM
  • Атаки социальной инженерии
  • Ошибки безопасности на сторонних веб-сайтах, интегрируемых с Canon
  • Методы перечисления сетевых данных (например, захват баннеров, наличие общедоступных страниц диагностики серверов)
  • Отчеты, указывающие, что наши услуги не полностью соответствуют "передовым практикам"

Что произойдет с вашим отчетом

Специалисты Canon по информационной безопасности изучат ваш отчет и свяжутся с вами в течение 5 рабочих дней.


Конфиденциальность

Мы будем использовать ваши личные данные только для принятия мер на основе вашего отчета. Мы не будем передавать ваши личные данные другим лицам без вашего явного разрешения.


Правила

Потенциально незаконные действия

При обнаружении и исследовании уязвимости могут выполняться действия, наказуемые по закону. Если при сообщении об уязвимостях в наших ИТ-системах вы будете следовать приведенным ниже правилам и принципам, мы не сообщим о таких действиях и не подадим заявление в органы власти.

Однако важно знать, что прокуратура (не CANON) может принять решение о привлечении вас к ответственности, даже если мы не сообщим о вашем нарушении властям. То есть мы не можем гарантировать, что вы не будете привлечены к ответственности, если вы совершили наказуемое правонарушение при исследовании уязвимости.

Национальный центр кибербезопасности Министерства безопасности и юстиции Великобритании разработал рекомендации по сообщению об уязвимостях в ИТ-системах. Наши правила основаны на этих рекомендациях. (https://english.ncsc.nl/)


Общие принципы

Принимайте ответственность и действуйте с особой осторожностью. В процессе исследования используйте только методы или действия, необходимые для выявления или демонстрации уязвимости.

  • Не используйте обнаруженные уязвимости в иных целях, кроме вашего собственного исследования.
  • Не используйте социальную инженерию для получения доступа к системе.
  • Не устанавливайте бэкдоры даже в целях демонстрации уязвимости системы. Бэкдоры ослабляют безопасность системы.
  • Не изменяйте и не удаляйте какую-либо информацию в системе. Если вам необходимо скопировать информацию в целях исследования, не копируйте больше, чем необходимо. Если одной записи достаточно, ограничьтесь этим.
  • Запрещается вносить какие-либо изменения в систему.
  • Входите в систему только в случае крайней необходимости. Если вам удалось войти в систему, не делитесь доступом с другими.
  • Не используйте методы грубой силы, такие как многократный ввод паролей, для получения доступа к системам.
  • Не используйте атаки типа "отказ в обслуживании" (DoS) для получения доступа

Часто задаваемые вопросы

Получу ли я вознаграждение за мое исследование?

Нет, никаких компенсаций не предполагается.

Могу ли я оглашать выявленные уязвимости и свои исследования?

Никогда не публикуйте информацию об уязвимостях ИТ-систем Canon или о ваших исследованиях, не проконсультировавшись с нами по электронной почте: appsec@canon-europe.com. Мы будем работать сообща, чтобы предотвратить злоупотребление вашей информацией злоумышленниками. Проконсультируйтесь с нашей командой по информационной безопасности, чтобы вместе проработать вопрос публикации.

Могу ли я сообщить об уязвимости анонимно?

Да, можете. Вы можете не указывать свое имя и контактные данные, сообщая об уязвимости. Однако имейте в виду, что в этом случае мы не сможем сообщить вам о принятых мерах, например о том, что мы сделали в отношении вашего отчета, то есть последующее взаимодействие исключается.

Для чего не следует использовать этот адрес электронной почты?

Адрес электронной почты appsec@canon-europe.com не предназначен для следующих целей:

  • Подача жалоб на продукцию или услуги Canon
  • Отправка вопросов или жалоб о доступности веб-сайтов Canon.
  • Сообщение о мошенничестве или подозрении на мошенничество
  • Сообщение о фишинговых электронных письмах
  • Сообщение о вирусах

Вам также может понадобиться...