Kjører dere varebiler? Vi hjelper dere med de nye EU-kravene for fartsskriver.

Les mer
ABAX
Priser

Retningslinjer for rapportering av sårbarheter (Responsible Disclosure)

Datasikkerhet er av største viktighet for ABAX. Vi setter stor pris på tilbakemeldinger fra etiske hackere og teknologimiljøet for å hjelpe oss med å gjøre produktene og tjenestene våre enda sikrere. ABAX-ledelsen anerkjenner verdien av undersøkende arbeid, og vi forplikter oss til å håndtere alle rapporterte sårbarheter grundig og profesjonelt.

Hvis du mener du har avdekket en sårbarhet, et personvernproblem, datalekkasjer eller andre sikkerhetshull i våre produkter eller tjenester, vil vi gjerne høre fra deg.

Formål med dokumentet

Dette dokumentet beskriver prosessen for å rapportere mulige sårbarheter i ABAX sine systemer. Her finner du informasjon om hvordan du går frem, hva vi forventer av deg, hva du kan forvente av oss, og hvordan vi anerkjenner de som hjelper oss med å sikre plattformene våre.

Hvis du mener du har funnet en sårbarhet, ber vi om at du rapporterer den i tråd med disse retningslinjene.

Vi ber deg om å ikke offentliggjøre sårbarheten før du har fått bekreftet at den er utbedret. Dersom du ønsker det, vil vi takke deg for innsatsen ved å inkludere navnet ditt i vår "Hall of Fame" nederst i dette dokumentet.

Målgruppe

Disse retningslinjene gjelder for IT-sikkerhetseksperter, "white hat"-hackere, og alle andre som mener de har funnet en sårbarhet i ABAX sine produkter eller tjenester.

Omfang for retningslinjen

Alle mulige sårbarheter og sikkerhetsproblemer knyttet direkte til ABAX sine produkter eller tjenester, faller inn under disse retningslinjene. Vennligst ikke test eller rapporter sårbarheter i systemer som eies eller driftes av tredjeparter.

Grunnregler

Som etisk hacker må du IKKE:

  • Dele informasjon om sårbarheten gjennom andre kanaler enn de som er beskrevet i dette dokumentet, eller med andre enn vår globale IT-avdeling.

  • Endre, slette eller benytte data som ikke tilhører deg.

  • Forstyrre driften av tjenestene eller systemene våre.

  • Avsløre sårbarheter i ABAX-systemer til tredjeparter. (Dette gjelder ikke dersom sårbarheten ligger i et offentlig programvarebibliotek eller rammeverk, men detaljer som knytter sårbarheten direkte til ABAX må da fjernes fra rapporten. Er du usikker, send en e-post til [email protected] før du varsler).

Forskere/etiske hackere må gjøre:

  • Slette alle innhentede data på en sikker måte så snart de ikke lenger er nødvendige, og senest én måned etter at sårbarheten er utbedret.

  • Følge reglene som er beskrevet i dette dokumentet.

  • Rapportere sårbarheten til oss så raskt som mulig, og senest én måned etter at du oppdaget den.

  • Kun benytte våre offisielle kanaler for å kommunisere om sårbarheten.

  • Utelukkende teste systemer som er omfattet av disse retningslinjene, og respektere at andre systemer er unntatt fra testing.

Er du usikker på om testingen du planlegger er akseptabel, ta kontakt med oss først.

Metoder som ikke er tillatt

Vi ber deg avstå fra å bruke metoder som kan skade systemene våre. Dette inkluderer, men er ikke begrenset til:

  • Nettverksangrep (som DoS eller DDoS) eller andre tester som forstyrrer tilgangen til systemene.

  • Fysisk inntrenging (f.eks. på kontorer), sosial manipulering (f.eks. phishing og vishing), eller annen ikke-teknisk testing.

Juridiske vilkår (Safe Harbor)

Disse retningslinjene er utformet for å støtte opp under god og etisk praksis for sårbarhetstesting. Retningslinjene gir deg ikke tillatelse til å bryte gjeldende lover eller påføre ABAX brudd på våre juridiske forpliktelser.

Dersom du følger reglene i dette dokumentet, vil ikke ABAX anmelde deg eller gå til rettslige skritt for sårbarhetene du rapporterer. Skulle en tredjepart gå til sak mot deg, og du har handlet i tråd med disse retningslinjene, vil vi bekrefte at handlingene dine var godkjent av oss.

Dersom du er usikker på om sikkerhetstestingen din er i tråd med disse retningslinjene, eller hvis du har tilbakemeldinger og forslag til selve prosedyren, ber vi deg kontakte oss på [email protected] før du går videre. Disse retningslinjene vil utvikle seg over tid, og vi setter stor pris på dine innspill for å sikre at de forblir tydelige, dekkende og aktuelle.

Slik rapporterer du en sårbarhet

Dersom du har avdekket en sårbarhet, ber vi deg sende en e-post til [email protected] med følgende informasjon:

  • Hvilket system eller tjeneste sårbarheten gjelder.

  • En kort beskrivelse av hvilken type sårbarhet det er snakk om (f.eks. "XSS-sårbarhet"). Unngå å dele detaljerte steg for hvordan sårbarheten utnyttes i denne første e-posten. Dette vil vi be om senere via kryptert kommunikasjon.

  • De potensielle konsekvensene ved å utnytte sårbarheten.

Rapporten bør skrives kort og presist, og helst på engelsk.

Når vi har mottatt varselet, vil vi be deg om å levere et "Proof of Concept" (PoC) som beviser at sårbarheten er reell, uten å gjøre skade på systemet. Dette hjelper oss med å verifisere problemet raskt, samtidig som det reduserer sannsynligheten for duplikate rapporter. Send aldri utnyttelseskode (exploits) i klartekst via vanlig e-post dersom sårbarheten fortsatt er aktiv. Sørg også for at all testing skjer i tråd med retningslinjene våre. Er du i tvil, spør oss om råd på [email protected].

Vi ber deg lese nøye gjennom dette dokumentet før du rapporterer, slik at du er godt kjent med rutinene våre.

PGP-kryptering

For å forhindre at sensitiv informasjon havner på avveie, vil vi be deg om å sende de tekniske detaljene om sårbarheten via kryptert e-post. Da vil vi be deg om å lage en detaljert beskrivelse av stegene som kreves for å reprodusere sårbarheten (scripts eller skjermbilder er veldig nyttig).

Du finner vår offentlige krypteringsnøkkel her: www.abax.com/pgp-key.txt.

Dette kan du forvente av oss

Når du sender din første e-post til [email protected], vil du motta en automatisk bekreftelse fra sakshåndteringssystemet vårt.

Deretter vil sikkerhetsteamet vårt vurdere rapporten. Du kan forvente et svar innen 72 timer, der vi deler vår evaluering og bekrefter om vi trenger mer informasjon. All videre utveksling av sensitiv informasjon skal skje kryptert med OpenPGP (bruk den offentlige nøkkelen lenket til ovenfor).

Fra dette punktet vil utbedringsarbeidet bli tildelt riktig IT-team og/eller leverandør. Feilretting og tiltak prioriteres basert på sårbarhetens alvorlighetsgrad og kompleksitet. Vi ber om tålmodighet i denne fasen da det kan ta litt tid å lukke sårbarheten, men du er alltid velkommen til å spørre oss om status underveis.

Sikkerhetsteamet vårt vil varsle deg når sårbarheten er løst (eller når en tiltaksplan er på plass), og vil be deg bekrefte at løsningen dekker sårbarheten på en tilfredsstillende måte. Vi gir deg også muligheten til å gi oss tilbakemelding på hvordan du opplevde prosessen. All slik informasjon behandles strengt konfidensielt og brukes utelukkende for å forbedre systemene og rutinene våre.

Dersom du ikke godtar vilkårene i dette dokumentet, ber vi deg om å ikke teste systemene våre eller sende inn sårbarheter.

Hall of Fame

I vår "Hall of Fame" anerkjenner vi personene som har hjulpet oss med å gjøre produktene og tjenestene våre sikrere (publisering skjer kun med ditt samtykke).

Du kan få navnet ditt publisert her dersom du var den første til å rapportere sårbarheten, sårbarheten ble vurdert som reell, og du fulgte retningslinjene våre underveis.

På grunn av interne begrensninger har vi for øyeblikket dessverre ikke mulighet til å tilby et betalt "Bug Bounty"-program. ABAX-ledelsen ønsker likevel å rette en oppriktig takk til dere som bruker tid og krefter på å avdekke og rapportere sikkerhetssårbarheter til oss i tråd med disse retningslinjene.

Tusen takk for innsatsen!

Vil du vite mer om vårt bærekraftsarbeid?

Gå til ESG-ressurser