Ajaako yrityksesi pakettiautoilla? Autamme ajopiirtureiden uusissa EU-vaatimuksissa.

Lue lisää
ABAX
Hinnat

Haavoittuvuuksien ilmoittamiskäytäntö

Turvallisuus on meille ABAXilla ensisijaisen tärkeää. Otamme mielellämme vastaan havaintoja tietoturvatutkijoilta ja käyttäjiltä parantaaksemme tuotteidemme ja palveluidemme turvallisuutta. Olemme sitoutuneet tutkimaan kaikki ilmoitetut haavoittuvuudet huolellisesti ja korjaamaan ne asianmukaisesti.

Jos uskot löytäneesi haavoittuvuuden, tietosuojaongelman, tietovuodon tai muun tietoturvaongelman missä tahansa tuotteessamme tai palvelussamme, haluamme kuulla siitä.

Asiakirjan tarkoitus

Tässä asiakirjassa määritellään prosessi mahdollisten ABAXin tuotteisiin ja palveluihin liittyvien haavoittuvuuksien ilmoittamiseksi. Asiakirjassa kuvataan vaiheet haavoittuvuuksien raportoimiseksi meille, mitä odotamme sinulta, mitä voit odottaa meiltä sekä lopuksi kiitokset henkilöille, jotka ovat auttaneet suojaamaan tuotteitamme ja palveluitamme.

Jos uskot löytäneesi haavoittuvuuden missä tahansa tuotteessamme tai palvelussamme, ilmoita siitä tässä asiakirjassa esitettyjen ohjeiden mukaisesti.

Pyydämme, ettet julkista tai paljasta haavoittuvuuksia ennen kuin korjaus on vahvistettu. Jos annat luvan, tunnustamme panoksesi haavoittuvuuden löytämisessä tämän asiakirjan "Kunniagalleria"-osiossa.

Yleisö

Tämä käytäntö on tarkoitettu kaikille tietoturvatutkijoille, eettisille hakkereille sekä kaikille muille, jotka uskovat löytäneensä haavoittuvuuden jossakin ABAXin tuotteessa tai palvelussa.

Käytännön soveltamisala

Kaikki mahdolliset ABAXin tuotteisiin tai palveluihin liittyvät haavoittuvuudet ja tietoturvaongelmat kuuluvat tämän käytännön soveltamisalaan. Älä ilmoita haavoittuvuuksista, jotka liittyvät kolmansien osapuolten hallinnoimiin tai omistamiin järjestelmiin.

Pelisäännöt

Tutkijat ja eettiset hakkerit eivät saa tehdä seuraavia asioita:

  • Käyttää tarpeettoman suuria määriä tietoa. Esimerkiksi 2–3 tietuetta riittää useimpien haavoittuvuuksien (kuten luettelointi- tai suoran objektiviittauksen haavoittuvuuden) osoittamiseen.

  • Loukata ABAXin käyttäjien, henkilöstön, urakoitsijoiden tai järjestelmien yksityisyyttä, esimerkiksi jakamalla, uudelleenjakamalla tai jättämällä asianmukaisesti suojaamatta järjestelmistämme saatuja tietoja.

  • Tiedottaa haavoittuvuuksista tai niihin liittyvistä yksityiskohdista muilla kuin tässä käytännössä kuvatuilla tavoilla tai kenellekään muulle kuin Global IT:lle.

  • Muokata tai käyttää mitään järjestelmissämme tai palveluissamme olevia tietoja, jotka eivät ole omia.

  • Häiritä palveluitamme tai järjestelmiämme.

  • Paljastaa ABAXin järjestelmien haavoittuvuuksia kolmansille osapuolille. Tämä ei kuitenkaan estä haavoittuvuuden ilmoittamista kolmansille osapuolille, joille haavoittuvuus on suoraan olennainen, esimerkiksi jos kyseessä on ohjelmistokirjastoon tai -kehykseen liittyvä haavoittuvuus. Tällaisissa tapauksissa ABAXin järjestelmiin liittyviin erityisiin haavoittuvuuksiin ei saa viitata raportissa. Jos olet epävarma siitä, voiko haavoittuvuuden ilmoittaa kolmannelle osapuolelle, lähetä sähköpostia osoitteeseen [email protected] saadaksesi selvennystä.

Tutkijoiden ja eettisten hakkereiden on tehtävä seuraavat asiat:

  • Kaikki noudetut tiedot on poistettava turvallisesti heti, kun niitä ei enää tarvita, ja viimeistään kuukauden kuluessa haavoittuvuuden korjaamisesta, sen mukaan kumpi ajankohta on aikaisempi.

  • Noudatettava kaikkia sääntöjä. Tämä sisältää tämän käytännön sekä kaikki muut soveltuvat sopimukset ja ohjeistukset.

  • Ilmoitettava kaikista löydetyistä haavoittuvuuksista viipymättä ja viimeistään kuukauden kuluessa niiden havaitsemisesta.

  • Käytettävä vain virallisia kanavia haavoittuvuuksiin liittyvään viestintään kanssamme.

  • Suoritettava testaus vain soveltamisalaan kuuluvissa järjestelmissä ja kunnioitettava soveltamisalan ulkopuolisia järjestelmiä ja toimintoja.

Jos olet epävarma siitä, ovatko suunnittelemasi toimet hyväksyttäviä, ota meihin yhteyttä.

Testimenetelmät:

Pyydämme, että pidättäydyt luvattomien testimenetelmien käytöstä. Näitä ovat muun muassa:

  • Palvelunestohyökkäykset (DoS tai DDoS) sekä muut testit, jotka voivat haitata pääsyä järjestelmiin tai tietoihin tai vahingoittaa niitä.

  • Fyysinen testaus, kuten toimistotiloihin pääsy, avoimet ovet tai luvaton tunkeutuminen, sekä sosiaalinen manipulointi, kuten tietojenkalastelu, puhelinhuijaukset tai muu ei-tekninen haavoittuvuuksien testaus

Lainsäädäntö

Tämä käytäntö on suunniteltu yhteensopivaksi hyvän käytännön kanssa, jota noudatetaan hyväntahtoisessa haavoittuvuuksien tutkimisessa. Se ei anna lupaa toimia millään tavalla, joka on ristiriidassa sovellettavan lainsäädännön kanssa tai joka aiheuttaa sen, että ABAX rikkoo oikeudellisia velvoitteitaan.

Jos noudatat tässä asiakirjassa esitettyjä ohjeita, emme aloita tai tue oikeudellisia toimenpiteitä ilmoittamiisi haavoittuvuuksiin liittyen. Jos kolmas osapuoli ryhtyy oikeudellisiin toimenpiteisiin sinua vastaan ja olet toiminut tämän käytännön mukaisesti, pyrimme tarvittaessa osoittamaan, että toimintasi on ollut tämän käytännön mukaista.

Jos sinulla on huolia tai olet epävarma siitä, onko tietoturvatutkimuksesi tämän käytännön mukaista, tai jos haluat antaa palautetta tai ehdotuksia tästä käytännöstä, ota meihin yhteyttä osoitteeseen [email protected] ennen kuin jatkat. Tämä käytäntö kehittyy ajan myötä, ja arvostamme panostasi sen selkeyden, kattavuuden ja ajantasaisuuden varmistamisessa.

Kuinka ilmoittaa haavoittuvuuksista

Jos olet löytänyt ongelman, jonka uskot olevan tietoturvahaavoittuvuus, lähetä sähköpostia osoitteeseen [email protected] ja sisällytä viestiin seuraavat tiedot:

  • Järjestelmä tai palvelu, jossa haavoittuvuus on havaittu.

  • Lyhyt kuvaus haavoittuvuuden tyypistä (esimerkiksi ”XSS-haavoittuvuus”). Älä sisällytä tässä vaiheessa yksityiskohtia, jotka mahdollistavat haavoittuvuuden toistamisen. Lisätietoja voidaan pyytää myöhemmin suojatun viestintäkanavan kautta.

  • Arvio mahdollisesta vaikutuksesta, jos haavoittuvuutta hyödynnetään.

Raportit tulee kirjoittaa selkeästi ja yksinkertaisesti sekä mieluiten englanniksi, jos se on mahdollista.

Pyydämme raportoijia toimittamaan mahdollisuuksien mukaan hyvänlaatuisen todisteen haavoittuvuuden hyödyntämisestä. Tämä auttaa varmistamaan, että raportit voidaan käsitellä nopeasti ja tarkasti. Lisäksi se vähentää toistuvien raporttien määrää sekä vähentää mahdollisen haitallisen hyväksikäytön riskiä tietyissä haavoittuvuustyypeissä. Älä lähetä hyödyntämistodistusta selkokielisessä sähköpostissa, jos haavoittuvuus on edelleen hyödynnettävissä. Varmista myös, että kaikki hyödyntämistodisteet noudattavat yllä kuvattuja ohjeita. Jos olet epävarma, ota yhteyttä osoitteeseen [email protected] saadaksesi lisäohjeita. Lue tämä asiakirja kokonaisuudessaan ennen haavoittuvuuksien ilmoittamista varmistaaksesi, että ymmärrät menettelyn ja osaat toimia sen mukaisesti.

PGP-salaus

Kriittisten tietojen joutumisen vääriin käsiin estämiseksi pyydämme lähettämään haavoittuvuutta koskevat tiedot salatulla sähköpostilla pyynnöstä. Pyydämme sisällyttämään yksityiskohtaisen kuvauksen haavoittuvuuden toistamiseen tarvittavista vaiheista. Proof of concept -skriptit ja kuvakaappaukset ovat hyödyllisiä.

Löydät julkisen salausavaimemme täältä www.abax.com/pgp-key.txt.

Mitä odottaa ABAXilta?

Kun lähetät sähköpostia osoitteeseen [email protected], saat kuittauksen tapaustenhallintajärjestelmästä.

Alkuperäisen yhteydenoton jälkeen sisäinen tietoturvatiimimme käsittelee ilmoitetun haavoittuvuuden. Voit odottaa vastausta 72 tunnin kuluessa, joka sisältää arvion raportista sekä vahvistuksen siitä, tarvitaanko lisätietoja. Mahdolliset lisätiedot pyydetään toimitettavaksi OpenPGP-salatulla viestinnällä.

Tämän jälkeen tarvittavat korjaustoimenpiteet ohjataan asianomaisille IT-tiimeille ja/ tai toimittajille. Korjausten ja lievennysten priorisointi perustuu haavoittuvuuden vakavuuteen ja hyödyntämisen todennäköisyyteen. Haavoittuvuuksien käsittely ja korjaaminen voi kestää aikaa. Voit tarvittaessa tiedustella asian etenemistä, mutta pyydämme kärsivällisyyttä.

Tietoturvatiimimme ilmoittaa sinulle, kun raportoitu haavoittuvuus on korjattu tai korjaustoimenpiteet on aikataulutettu. Samalla sinua pyydetään vahvistamaan, kattaako ratkaisu haavoittuvuuden riittävästi. Tarjoamme sinulle mahdollisuuden antaa palautetta sekä raportointiprosessista että haavoittuvuuden ratkaisusta. Näitä tietoja käsitellään luottamuksellisesti ja käytetään ainoastaan toimintamme, prosessiemme ja järjestelmiemme parantamiseen sekä haavoittuvuuksien käsittelyn kehittämiseen.

Jos et hyväksy näitä ehtoja, älä lähetä meille haavoittuvuusilmoituksia tai osallistu tähän ohjelmaan.

Kunniagalleria

Kunniagalleria on paikka, jossa esittelemme henkilöt, jotka ovat auttaneet turvaamaan tuotteitamme ja palveluitamme (julkaistu heidän suostumuksellaan).

Voit saada julkisen tunnustuksen, jos olet ensimmäinen henkilö, joka ilmoittaa haavoittuvuudesta, haavoittuvuus todetaan päteväksi turvallisuusongelmaksi, ja olet noudattanut näitä ohjeita.

Valitettavasti sisäisten rajoitusten vuoksi emme tällä hetkellä tarjoa maksullista bug bounty -ohjelmaa. ABAXin johto haluaa kuitenkin esittää vilpittömän kiitoksensa kaikille, jotka käyttävät aikaansa ja osaamistaan tietoturvahaavoittuvuuksien tutkimiseen ja raportoimiseen tämän käytännön mukaisesti.

Kiitos vaivannäöstäsi.

Tutustu kaikkeen, mitä sinun tarvitsee tietää ABAXin kestävyydestä ja hallinnosta.

Siirry ESG-resursseihin