iStock_80038439_XXXLARGE

Sicurezza di Canon

Questa pagina fornisce informazioni importanti relative alla sicurezza Canon


Informativa sulla divulgazione della sicurezza

Canon prende sul serio la sicurezza dei propri sistemi IT e tiene conto della comunità che si occupa di sicurezza. La divulgazione dei punti deboli della sicurezza ci aiuta a garantire la sicurezza e la privacy dei nostri utenti agendo come partner di fiducia. Questa policy spiega il requisito e il meccanismo relativo alla divulgazione delle vulnerabilite del sistema IT Canon EMEA, che consente ai ricercatori di segnalare le vulnerabilità della sicurezza in modo sicuro ed etico al team di sicurezza delle informazioni di Canon EMEA.

La presente Informativa si applica a tutti, inclusi i partecipanti interni Canon e quelli esterni.


Ambito

Il team di sicurezza delle informazioni di Canon EMEA si impegna a proteggere i clienti e i dipendenti di Canon. Nell'ambito di questo impegno, invitiamo i ricercatori che si occupano della sicurezza a proteggere Canon segnalando in modo proattivo vulnerabilità e punti deboli della sicurezza. È possibile segnalare i dettagli dei risultati all'indirizzo: appsec@canon-europe.com


Domini nell'ambito
Questo è l'elenco dei domini inclusi nell'Informativa sulla divulgazione delle vulnerabilità di Canon.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Segnalazione di una vulnerabilità

È possibile segnalare i punti deboli tramite e-mail all'indirizzo: appsec@canon-europe.com. Indicare nell'e-mail in modo conciso quali punti deboli sono stati individuati nel modo più esplicito e dettagliato possibile e fornire eventuali prove, tenendo presente che il messaggio verrà esaminato dagli specialisti di Canon Security. In particolare, includere quanto segue nella propria e-mail:

  • Il tipo di vulnerabilità
  • Istruzioni dettagliate su come riprodurre la vulnerabilità
  • L'approccio che è stato seguito
  • L'intero URL
  • Oggetti (come filtri o campi di immissione) potenzialmente coinvolti
  • Le istantanee dello schermo sono molto apprezzate
  • Fornire l'indirizzo IP nel rapporto di debolezza. Questo processo verrà mantenuto privato per il monitoraggio delle attività di test e per esaminare i registri

Non sono accettati output di ricerca software automatizzati.


Elementi non accettati:
  • Vulnerabilità volumetriche/Denial of Service (es. sovraccaricare il nostro servizio con un elevato volume di richieste)
  • Punti deboli della configurazione TLS (es. supporto di cipher suite "debole", supporto TLS1.0, sweet32 ecc.)
  • Problemi relativi alla verifica degli indirizzi e-mail utilizzati per creare account utente relativi a myid.canon
  • XSS "self"
  • Script di contenuti misti su www.canon.*
  • Cookie non sicuri su www.canon.*
  • Attacchi CSRF e CRLF in cui l'impatto risultante è minimo
  • HTTP host Header XSS senza prova di concetto funzionante
  • SPF/DMARC/DKIM incompleti/mancanti
  • Attacchi di Social Engineering
  • Bug di sicurezza in siti Web di terze parti che si integrano con Canon
  • Tecniche di enumerazione dei dati di rete (es. raccolta di banner, esistenza di pagine di diagnostica del server pubblicamente disponibili)
  • Relazioni indicanti che i nostri servizi non sono completamente allineati alle "Best practice"

Cosa facciamo con il report

Gli esperti di sicurezza di Canon Information esamineranno il report e ti contatteranno entro 5 giorni lavorativi.


La tua privacy

Utilizzeremo i tuoi dati personali solo per intraprendere azioni in base al tuo report. Non condivideremo i dati personali con altri senza il tuo esplicito consenso.


Regole

Azioni potenzialmente illegali

Se rilevi una debolezza e approfondisci la ricerca, potresti intraprendere azioni punibili per legge. Se segui le regole e i principi riportati di seguito per segnalare i punti deboli dei nostri sistemi IT, non segnaleremo il reato alle autorità e non inoltreremo alcun reclamo.

È importante sapere, tuttavia, che l'ufficio del procuratore pubblico, non CANON, può decidere se l'utente verrà perseguito o meno, anche se non è stato segnalato il suo reato alle autorità. Ciò significa che non possiamo garantire che non sarai perseguibile se commetti un reato punibile durante l'indagine di un punto debole.

Il National Cyber Security Center del Ministero della sicurezza e della giustizia ha creato delle linee guida per segnalare i punti deboli dei sistemi IT. Le nostre regole si basano su queste linee guida. (https://english.ncsc.nl/)


Principi generali

Assumersi le responsabilità e agire con estrema attenzione e cautela. Quando si esamini la questione, utilizza solo metodi o tecniche necessari per individuare o dimostrare i punti deboli.

  • Non utilizzare i punti deboli rilevati per scopi diversi dalle proprie indagini specifiche.
  • Non utilizzare il social engineering per accedere a un sistema.
  • Non installare back door, nemmeno per dimostrare la vulnerabilità di un sistema. Le back door indeboliscono la sicurezza del sistema.
  • Non alterare o eliminare informazioni nel sistema. Se è necessario copiare le informazioni per l'indagine, non copiare mai più di quanto necessario. Se una voce è sufficiente, non procedere ulteriormente.
  • Non alterare in alcun modo il sistema.
  • Entrare in un sistema solo se assolutamente necessario. Se entri in un sistema, non condividere l'accesso con altri.
  • Non utilizzare tecniche di forza bruta, come l'immissione ripetuta di password, per accedere ai sistemi.
  • Non utilizzare attacchi DOS (Denial of Service) per ottenere l'accesso

Domande frequenti

Riceverò un premio per la mia indagine?

No, l'utente non ha diritto ad alcun compenso.

Posso pubblicizzare i punti deboli che trovo e le mie indagini?

Non pubblicizzare mai i punti deboli dei sistemi IT Canon né le indagini senza prima consultare l'indirizzo e-mail: appsec@canon-europe.com. Possiamo collaborare per impedire ai criminali di abusare delle tue informazioni. Contatta il nostro team per la sicurezza delle informazioni e possiamo lavorare insieme per la pubblicazione.

Posso segnalare un problema di debolezza in forma anonima?

Sì. Non è necessario menzionare il proprio nome e i propri dati di contatto quando si segnala un punto debole. Ti preghiamo tuttavia di renderti conto che non saremo in grado di consultarti in merito alle misure di follow-up, ad esempio cosa facciamo in relazione alla tua segnalazione o a ulteriori collaborazioni.

Per cosa non devo utilizzare questo indirizzo e-mail?

L'e-mail: appsec@canon-europe.com non è destinata a:

  • L'invio di reclami sui prodotti o servizi Canon
  • L'invio di domande o reclami sulla disponibilità dei siti Web di Canon.
  • La segnlazione di frodi o sospette tali
  • La segnalazione di e-mail di phishing
  • La segnalazione di virus

Potrebbero anche interessarti…