Retningslinjer for rapportering af sårbarheder (Responsible Disclosure)

Datasikkerhed er af største vigtighed for ABAX. Vi sætter stor pris på feedback fra etiske hackere og teknologimiljøet for at hjælpe os med at gøre vores produkter og tjenester endnu mere sikre. ABAX-ledelsen anerkender værdien af undersøgende arbejde, og vi forpligter os til at håndtere alle rapporterede sårbarheder grundigt og professionelt.

Hvis du mener, du har fundet en sårbarhed, et privatlivsproblem, datalækager eller andre sikkerhedsbrister i vores produkter eller tjenester, vil vi meget gerne høre fra dig.

Formålet med dokumentet

Dette dokument beskriver processen for at rapportere mulige sårbarheder i ABAX' systemer. Her finder du information om, hvordan du gør, hvad vi forventer af dig, hvad du kan forvente af os, og hvordan vi anerkender dem, der hjælper os med at sikre vores platforme.

Hvis du mener, du har fundet en sårbarhed, beder vi dig rapportere den i overensstemmelse med disse retningslinjer.

Vi beder dig om ikke at offentliggøre sårbarheden, før du har fået bekræftet, at den er udbedret. Hvis du ønsker det, vil vi takke dig for indsatsen ved at inkludere dit navn i vores "Hall of Fame" nederst i dette dokument.

Målgruppe

Disse retningslinjer gælder for it-sikkerhedseksperter, "white hat"-hackere og alle andre, der mener, de har fundet en sårbarhed i ABAX' produkter eller tjenester.

Hvad der er omfattet (Scope)

Alle mulige sårbarheder og sikkerhedsproblemer, der er direkte relateret til ABAX' produkter eller tjenester, er omfattet af disse retningslinjer. Undlad venligst at teste eller rapportere sårbarheder i systemer, der ejes eller drives af tredjeparter.

Grundregler for test

Som etisk hacker må du IKKE:

• Hente mere data end højst nødvendigt. (Det er som regel nok med 2-3 registreringer for at bevise en sårbarhed).

• Krænke privatlivets fred for ABAX' brugere, medarbejdere eller samarbejdspartnere (for eksempel ved at dele, videredistribuere eller gemme data hentet fra vores systemer på en usikker måde).

• Dele information om sårbarheden gennem andre kanaler end dem, der er beskrevet i dette dokument, eller med andre end vores globale it-afdeling.

• Ændre, slette eller bruge data, der ikke tilhører dig.

• Forstyrre driften af vores tjenester eller systemer.

• Afsløre sårbarheder i ABAX-systemer til tredjeparter. (Dette gælder dog ikke, hvis sårbarheden ligger i et offentligt softwarebibliotek eller framework, men detaljer, der knytter sårbarheden direkte til ABAX, skal fjernes fra rapporten. Er du i tvivl, så send en e-mail til [email protected], før du giver besked).

Som etisk hacker SKAL du:

• Slette alle indhentede data på en sikker måde, så snart de ikke længere er nødvendige, og senest en måned efter at sårbarheden er udbedret.

• Følge spillereglerne beskrevet i dette dokument.

• Rapportere sårbarheden til os så hurtigt som muligt, og senest en måned efter du opdagede den.

• Kun benytte vores officielle kanaler til at kommunikere om sårbarheden.

• Udelukkende teste systemer, der er omfattet af disse retningslinjer, og undgå al test af systemer, der falder udenfor.

Er du i tvivl om, hvorvidt den test, du planlægger, er acceptabel, så kontakt os først.

Metoder, der ikke er tilladt

Vi beder dig afholde dig fra at bruge metoder, der kan skade vores systemer. Dette inkluderer, men er ikke begrænset til:

• Netværksangreb (som DoS eller DDoS) eller andre tests, der forstyrrer adgangen til systemerne.

• Fysisk indtrængen (f.eks. på kontorer), social engineering (f.eks. phishing og vishing) eller anden ikke-teknisk test.

Juridiske vilkår (Safe Harbor)

Disse retningslinjer er udformet til at understøtte god og etisk praksis for sårbarhedstest. Retningslinjerne giver dig ikke tilladelse til at bryde gældende love eller påføre ABAX brud på vores juridiske forpligtelser.

Hvis du følger reglerne i dette dokument, vil ABAX ikke anmelde dig eller tage retslige skridt i forbindelse med de sårbarheder, du rapporterer. Skulle en tredjepart sagsøge dig, og du har handlet i overensstemmelse med disse retningslinjer, vil vi bekræfte, at dine handlinger var godkendt af os.

Hvis du er usikker på, om din sikkerhedstest er i tråd med disse retningslinjer, eller hvis du har feedback og forslag til selve proceduren, beder vi dig kontakte os på [email protected], før du går videre. Disse retningslinjer vil udvikle sig over tid, og vi sætter stor pris på dine input for at sikre, at de forbliver tydelige, dækkende og aktuelle.

Sådan rapporterer du en sårbarhed

Hvis du har fundet et problem, som du mener er en sårbarhed inden for vores rammer, bedes du sende en e-mail til [email protected] med følgende information:

• Hvilket system eller tjeneste sårbarheden gælder.

• En kort beskrivelse af, hvilken type sårbarhed der er tale om (f.eks. "XSS-sårbarhed"). Undgå at dele detaljerede trin til, hvordan sårbarheden udnyttes i denne første e-mail. Det vil vi bede om senere via krypteret kommunikation.

• De potentielle konsekvenser ved at udnytte sårbarheden.

Rapporten bør skrives kort og præcist, og helst på engelsk.

Når vi har modtaget din e-mail, vil vi bede dig om at levere et "Proof of Concept" (PoC), som beviser, at sårbarheden er reel, uden at gøre skade på systemet. Dette hjælper os med at verificere problemet hurtigt og reducerer sandsynligheden for duplikerede rapporter. Send aldrig udnyttelseskode (exploits) i klartekst via almindelig e-mail, hvis sårbarheden stadig er aktiv. Sørg også for, at al test sker i tråd med vores retningslinjer. Er du i tvivl, så spørg os til råds på [email protected].

Vi beder dig læse dette dokument grundigt, før du rapporterer, så du er godt kendt med vores procedurer.

PGP-kryptering

For at forhindre at sensitiv information havner i forkerte hænder, vil vi bede dig om at sende de tekniske detaljer om sårbarheden via krypteret e-mail. Vi vil da bede dig om at lave en detaljeret beskrivelse af de trin, der kræves for at reproducere sårbarheden (scripts eller skærmbilleder er meget nyttige).

Du finder vores offentlige krypteringsnøgle her: www.abax.com/pgp-key.txt.

Dette kan du forvente af os

Når du sender din første e-mail til [email protected], vil du modtage en automatisk bekræftelse fra vores sagsbehandlingssystem.

Herefter vil vores sikkerhedsteam vurdere rapporten. Du kan forvente et svar inden for 72 timer, hvor vi deler vores evaluering og bekræfter, om vi har brug for mere information. Al videre udveksling af sensitiv information skal ske krypteret med OpenPGP (brug den offentlige nøgle, der er linket til ovenfor).

Fra dette punkt vil udbedringsarbejdet blive tildelt det rette it-team og/eller leverandør. Fejlretning og tiltag prioriteres baseret på sårbarhedens alvorlighedsgrad og kompleksitet. Vi beder om tålmodighed i denne fase, da det kan tage lidt tid at lukke sårbarheden, men du er altid velkommen til at spørge os om status undervejs.

Vores sikkerhedsteam vil give dig besked, når sårbarheden er løst (eller når en handlingsplan er på plads), og vil bede dig bekræfte, at løsningen dækker sårbarheden på en tilfredsstillende måde. Vi giver dig også mulighed for at give os feedback på, hvordan du oplevede processen. Al denne information behandles strengt fortroligt og bruges udelukkende til at forbedre vores systemer og rutiner.

Hvis du ikke accepterer vilkårene i dette dokument, beder vi dig om ikke at teste vores systemer eller indsende sårbarheder.

Hall of Fame

I vores "Hall of Fame" anerkender vi de personer, der har hjulpet os med at gøre vores produkter og tjenester mere sikre (offentliggørelse sker kun med dit samtykke).

Du kan få dit navn offentliggjort her, hvis du var den første til at rapportere sårbarheden, sårbarheden blev vurderet som reel, og du fulgte vores retningslinjer undervejs.

På grund af interne retningslinjer har vi i øjeblikket desværre ikke mulighed for at tilbyde et betalt "Bug Bounty"-program. ABAX-ledelsen ønsker alligevel at rette en oprigtig tak til jer, der bruger tid og kræfter på at afdække og rapportere sikkerhedssårbarheder til os i tråd med disse retningslinjer.

Tusind tak for indsatsen!