iStock_80038439_XXXLARGE

Canon-sikkerhet

På denne siden finner du viktig informasjon om Canon-sikkerhet


Retningslinjer for Security Disclosure

I Canon tar vi sikkerheten til IT-systemene våre på alvor og setter pris på varsling av sårbarheter og brudd. Informasjon om sårbarheter hjelper oss med å ivareta brukernes sikkerhet og personvern. På denne siden finner du informasjon om hva du skal gjøre hvis du oppdager sårbarheter og brudd ved bruk av våre produkter.

Disse retningslinjene gjelder for alle, inkludert Canon-kunder og andre.


Omfang

Canons EMEA Information Security Team jobber hardt for å beskytte våre kunder og ansatte. Som en del av denne forpliktelsen ønsker vi at brukere rapporterer sikkerhetsproblemer og sårbarheter så fort de er oppdaget. Du kan rapportere detaljene for dine funn til: appsec@canon-europe.com


Domener som omfattes
Dette er listen over domener som er inkludert i Canon Vulnerability Disclosure Policy.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Rapporter et sikkerhetsproblem

Du kan rapportere sårbarheter og sikkerhetsproblemer til oss via e-post: appsec@canon-europe.com. Oppgi hva du har funnet, så tydelig og detaljert som mulig, og oppgi eventuell dokumentasjon og bevis du måtte ha. Husk at meldingen vil bli gjennomgått av Canons sikkerhetsspesialister. Få med følgende i e-posten:

  • Type sikkerhetsproblem
  • Trinnvise instruksjoner for hvordan du gjenskaper sårbarheten
  • Hva det er du har gjortHva det er du har gjort
  • Hele URL-adressen
  • Objekter (som filtre eller skrivefelt) som kan være involvert
  • Vi setter stor pris på skjermbilder
  • Angi IP-adressen din i svakhetsrapporten. Dette vil bli hold konfidensielt og vil kun brukes for å spore testaktivitetene dine og gå gjennom loggene fra vår side

Vi ønsker ikke informasjon fra automatiserte testverktøy.


Hva som ikke blir akseptert:
  • Volumetriske / tjenestenektsikkerhetsproblemer (dvs. ganske enkelt å overvelde tjenesten med et høyt antall forespørsler)
  • Svakheter i TLS-konfigurasjon (f.eks. svak støtte for krypteringssuite, støtte for TLS1.0, sweet32 osv.)
  • Problemer som angår verifisering av e-postadresser som brukes til å opprette brukerkontoer relatert til myid.canon
  • Selv-XSS
  • Skript med blandet innhold på www.canon.*
  • Usikre informasjonskapsler på www.canon.*
  • CSRF- og CRLF-angrep der den resulterende påvirkningen er minimal
  • HTTP-vertshode XSS uten fungerende bevis-på-konsept
  • Ufullstendig/manglende SPF/DMARC/DKIM
  • Angrep fra sosiale medier
  • Sikkerhetsfeil på tredjeparts nettsteder som integreres med Canon
  • Teknikker for nummerering av nettverksdata (f.eks. bannerplukking, at det finnes offentlig tilgjengelige serverdiagnostikksider)
  • Rapporter som indikerer at tjenestene våre ikke er helt i tråd med «beste praksis»

Hva vi gjør med rapporten din

Canons eksperter på informasjonssikkerhet undersøker rapporten din og kontakter deg innen fem virkedager.


Personvernet ditt

Vi vil kun bruke de personlige opplysningene du oppgir til å iverksette tiltak basert på rapporten din. Vi vil ikke dele dine personlige opplysninger med andre uten ditt samtykke.


Regler

Potensielt ulovlige handlinger

Hvis du oppdager en svakhet og undersøker den, kan det hende at du utfører handlinger som er straffbare i henhold til loven. Hvis du følger reglene og prinsippene nedenfor for rapportering av svakheter i IT-systemene våre, vil vi ikke rapportere lovbruddet til myndighetene og vil ikke fremme et krav.

Det er imidlertid viktig at du vet at det offentlige aktorembetet – ikke CANON – kan avgjøre om du vil bli rettsforfulgt, selv om vi ikke har rapportert lovbruddet ditt til myndighetene. Det betyr at vi ikke kan garantere at du ikke vil bli rettsforfulgt hvis du begår en straffbar handling når du etterforsker en svakhet.

National Cyber Security Centre of the Ministry of Security and Justice har opprettet retningslinjer for rapportering av svakheter i IT-systemer. Våre regler er basert på disse retningslinjene. (https://english.ncsc.nl/)


Generelle prinsipper

Ta ansvar og opptre med ekstrem forsiktighet. Når du undersøker saken må du kun bruke metoder eller teknikker som er nødvendige for å finne eller demonstrere svakhetene.

  • Ikke bruk svakheter du oppdager til andre formål enn din egen undersøkelse.
  • Ikke bruk manipulasjon for å få tilgang til et system.
  • Ikke installer noen bakdører, selv ikke for å demonstrere sikkerhetsproblemet i et system. Bakdører vil svekke systemets sikkerhet.Bakdører vil svekke systemets sikkerhet.
  • Du må ikke slette eller endre informasjon du finner i systemet. Hvis du trenger å kopiere informasjon til rapporten, må du aldri kopiere mer enn du trenger. Hvis én post er tilstrekkelig, må du ikke gå lenger.
  • kke endre systemet på noen slags måte.
  • Infiltrer bare et system hvis det er absolutt nødvendig. Hvis du klarer å infiltrere et system må du ikke dele tilgang med andre.
  • Ikke bruk «bruteforce»-teknikker, for eksempel å legge inn et passord flere ganger for å få tilgang til systemer.
  • Ikke bruk DoS-type angrep (Denial of Service) for å få tilgang

Vanlige spørsmål

Vil jeg motta en belønning for min undersøkelse?

Nei, du har ikke rett til noen kompensasjon.

Har jeg lov til å offentliggjøre svakhetene jeg finner og undersøkelsene mine?

Du må aldri offentliggjøre svakheter i Canon IT-systemer eller undersøkelser uten å rådføre deg med oss først via e-post: appsec@canon-europe.com. Vi kan samarbeide for å hindre at kriminelle misbruker informasjonen din. Ta kontakt med teamet vårt Information Security team slik at vi kan samarbeide om publisering av sikkerhetsbrudd og evt. Funn.

Kan jeg rapportere en svakhet anonymt?

Ja, det kan du. Du trenger ikke å oppgi navn og kontaktinformasjon når du rapporterer en svakhet. Vær imidlertid klar over at vi ikke kan snakke med deg om oppfølgingstiltak, for eksempel hva vi gjør med rapporten din eller videre samarbeid.

Hva skal jeg ikke bruke denne e-postadressen til?

E-posten: appsec@canon-europe.com er ikke ment for følgende:

  • For å sende inn klager om Canon-produkter eller -tjenester
  • For å sende inn spørsmål eller klager om tilgjengeligheten til Canons nettsteder.
  • For å rapportere svindel eller mistanke om svindel
  • For å rapportere falske e-postmeldinger eller phishing-e-postmeldinger
  • For å rapportere virus

Du kan også ha interesse av …