iStock_80038439_XXXLARGE

Zabezpečenie zariadení značky Canon

Na tejto strane sa nachádzajú dôležité informácie týkajúce sa zabezpečenia zariadení značky Canon


Zásady zverejňovania informácií o bezpečnosti

Ako spoločnosť Canon berieme bezpečnosť našich IT systémov vážne a vážime si bezpečnostnú komunitu. Odhaľovanie nedostatkov v zabezpečení nám pomáha zaistiť bezpečnosť a súkromie našich používateľov a konať ako dôveryhodný partner. Tieto zásady vysvetľujú požiadavku a mechanizmus vzťahujúci sa na informácie o zraniteľnosti IT systému spoločnosti Canon EMEA, ktoré umožňujú výskumným pracovníkom nahlasovať bezpečnostné nedostatky etickým spôsobom tímu Canon EMEA Information Security.

Tieto zásady sa vzťahujú na všetkých, vrátane spoločnosti Canon interne ako aj na externých účastníkov.


Platnosť

Tím informačnej bezpečnosti spoločnosti Canon EMEA sa zaväzuje chrániť zákazníkov a zamestnancov spoločnosti Canon. V rámci tohto záväzku vyzývame výskumných pracovníkov v oblasti bezpečnosti, aby pomohli chrániť spoločnosť Canon proaktívnym hlásením nedostatkov a slabých miest v oblasti zabezpečenia. Podrobnosti o svojich zisteniach môžete nahlásiť na adrese: appsec@canon-europe.com


Zahrnuté domény
Toto je zoznam domén, na ktoré sa vzťahujú zásady spoločnosti Canon týkajúce sa zverejňovania informácií o napadnuteľnosti.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Nahlasovanie informácií o zraniteľnosti

Naše slabiny nám môžete nahlásiť e-mailom: appsec@canon-europe.com. Stručne vo svojom e -maile uveďte, aké nedostatky ste zistili, čo najpresnejšie a najpodrobnejšie, a poskytnite všetky dôkazy, ktoré máte eventuálne k dispozícii. Majte na pamäti, že správu skontrolujú špecialisti spoločnosti Canon Security. Vo svojom e-maile uveďte najmä nasledujúce:

  • Typ napadnuteľnosti
  • Podrobný návod, ako reprodukovať danú napadnuteľnosť
  • Opatrenia, ktoré ste prijali
  • Celú adresu URL
  • Objekty (ako filtre alebo vstupné polia), ktorých sa to môže týkať
  • Veľmi dôležité sú snímky obrazoviek
  • V správe o nedostatkoch zadajte svoju IP adresu. Tá nebude zverejnená, aby bolo možné sledovať vaše testovacie aktivity a kontrolovať protokoly z našej strany

Nebudeme akceptovať výstup automatizovaných softvérových skenerov.


Čo nebude akceptované:
  • Volumetrické nedostatky/zamietnutia služby (t.j. jednoducho povedané zahltenie našej služby veľkým počtom žiadostí)
  • Nedostatky v konfigurácii TLS (napr. podpora „slabých“ šifrovacích balíkov, podpora TLS1.0, sweet32 atď.)
  • Problémy súvisiace s overovaním e -mailových adries používaných na vytváranie používateľských účtov súvisiacich s myid.canon
  • „Vlastné“ XSS
  • Skripty zmiešaného obsahu na www.canon.*
  • Nezabezpečené súbory cookies na www.canon.*
  • Útoky CSRF a CRLF, kde je výsledný vplyv minimálny
  • Hlavička hostiteľa HTTP XSS bez funkčného overenia koncepcie
  • Neúplný/chýbajúci SPF/DMARC/DKIM
  • Útoky sociálneho inžinierstva
  • Chyby zabezpečenia na webových stránkach tretích strán, ktoré sú integrované do spoločnosti Canon
  • Techniky sčítania sieťových údajov (napr. zmocnenie sa bannera, existencia verejne dostupných diagnostických stránok servera)
  • Správy naznačujúce, že naše služby nie sú úplne v súlade s „osvedčenými postupmi“

Čo budeme s vašou správou nakladať

Experti na bezpečnosť informácií spoločnosti Canon vašu správu prešetria a budú vás kontaktovať do 5 pracovných dní.


Vaše súkromie

Vaše osobné údaje použijeme iba na to, aby sme mohli podniknúť kroky na základe vašej správy. Bez vášho výslovného súhlasu nebudeme s nikým zdieľať vaše osobné údaje.


Zásady

Potenciálne nezákonná činnosť

Ak odhalíte slabinu a prešetríte ju, môžete sa dopustiť činov, ktoré sú v zmysle zákona trestné. Ak budete postupovať podľa nižšie uvedených pravidiel a zásad pre nahlasovanie nedostatkov v našich IT systémoch, neoznámime váš priestupok úradom a nepodáme sťažnosť.

Je však dôležité, aby ste vedeli, že jedine prokuratúra – nie CANON – môže rozhodnúť, či budete alebo nebudete stíhaní, aj keď sme váš priestupok úradom neoznámili. To znamená, že nemôžeme zaručiť, že nebudete stíhaní, ak pri vyšetrovaní nedostatkov spáchate trestný čin.

Národné centrum kybernetickej bezpečnosti ministerstva bezpečnosti a spravodlivosti pripravilo usmernenia pre nahlasovanie nedostatkov v systémoch IT. Naše pravidlá sú založené na týchto princípoch. (https://english.ncsc.nl/)


Všeobecné zásady

Prevezmite zodpovednosť a konajte mimoriadne opatrne a starostlivo. Pri vyšetrovaní danej záležitosti používajte iba metódy alebo techniky, ktoré sú potrebné na nájdenie alebo preukázanie nedostatkov.

  • Nevyužívajte zistené nedostatky na iné účely, ako vaše vlastné konkrétne šetrenie.
  • Nevyužívajte sociálne inžinierstvo na získanie prístupu k systému.
  • Neinštalujte žiadne zadné dvierka – ani za účelom demonštrovania zraniteľnosti systému. Zadné dvierka oslabia bezpečnosť systému.
  • Nemodifikujte ani neodstraňujte žiadne informácie v systéme. Ak potrebujete kvôli vyšetrovaniu kopírovať informácie, nikdy nekopírujte viac, ako potrebujete. Ak postačuje jeden záznam, nepokračujte ďalej.
  • V žiadnom prípade systém nemodifikujte.
  • Systém infiltrujte iba vtedy, ak je to absolútne nevyhnutné. Ak sa vám podarí preniknúť do systému, nezdieľajte prístup s ostatnými.
  • Na získanie prístupu k systémom nepoužívajte metódy hrubej sily, ako napríklad opakované zadávanie hesiel.
  • Na získanie prístupu nepoužívajte útoky typu Denial of Service (DoS)

Najčastejšie otázky

Dostanem za vyšetrenie odmenu?

Nie, nemáte nárok na žiadnu odmenu.

Môžem zverejniť nedostatky, ktoré som pri vyšetrovaní zistil?

Nikdy neinformujte o nedostatkoch v IT systémoch Canon alebo o vašom vyšetrovaní bez toho, aby ste to najskôr konzultovali prostredníctvom e-mailu: appsec@canon-europe.com. Aby sme zabránili zločincom v zneužití vašich informácií, môžeme spolupracovať. Poraďte sa s naším tímom pre bezpečnosť informácií a môžeme spolupracovať pri zverejnení.

Môžem nahlásiť nedostatok anonymne?

Áno môžete. Keď nahlasujete nedostatok, nemusíte uvádzať svoje meno a kontaktné údaje. Uvedomte si však, že nebudeme môcť s vami konzultovať následné opatrenia, napr. čo s vašou správou podnikneme alebo ako budeme spolupracovať.

Na čo by som nemal používať túto e -mailovú adresu?

E-mail: appsec@canon-europe.com nie je určený na nasledujúce účely:

  • Odosielanie sťažností na produkty alebo služby spoločnosti Canon
  • Odosielanie otázok alebo sťažností na dostupnosť webových stránok Canon.
  • Nahlasovanie podvodov alebo podozrenia z podvodu
  • Nahlasovanie falošných e -mailov alebo phishingových e-mailov
  • Nahlasovanie vírusov

Možno budete potrebovať aj...