iStock_80038439_XXXLARGE

Canonin tietoturva

Tällä sivulla on tärkeitä tietoja Canonin tietoturvasta


Haavoittuvuuksien ilmoituskäytäntö

Canon suhtautuu IT-järjestelmiensä turvallisuuteen vakavasti ja arvostaa suuresti tietoturvayhteisöä. Tietoturvaheikkouksien paljastaminen auttaa meitä varmistamaan käyttäjiemme tietoturvan ja yksityisyyden luotettuna kumppanina. Tässä käytännössä kuvataan Canonin (EMEA) tietojärjestelmien haavoittuvuuksien paljastamisen liittyvät vaatimukset ja mekanismit, joiden avulla tutkijat voivat etsiä haavoittuvuuksia turvallisesti ja eettisesti ja raportoida niistä Canonin (EMEA) tietoturvatiimille.

Tämä käytäntö koskee kaikkia osapuolia, mukaan lukien Canonin omat työntekijät ja ulkoisia kumppanit.


Soveltamisala

Canonin (EMEA) tietoturvatiimi on sitoutunut suojaamaan Canonin asiakkaita ja työntekijöitä. Osana tätä sitoumusta kutsumme tietoturva-asiantuntijoita auttamaan Canonia ja raportoimaan havaitsemistaan haavoittuvuuksista ja heikkouksista. Havainnoista voi ilmoittaa osoitteeseen appsec@canon-europe.com.


Soveltamisalaan kuuluvat toimialueet
Tämä on luettelo toimialueista, jotka liittyvät Canonin haavoittuvuuksien paljastamiskäytäntöön.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Haavoittuvuudesta ilmoittaminen

Voit ilmoittaa haavoittuvuuksista sähköpostitse osoitteeseen appsec@canon-europe.com. Mainitse viestissä mitä haavoittuvuuksia olet löytänyt ja kuvaile niitä mahdollisimman yksityiskohtaisesti. Pyri antamaan mahdollisimman kattavia tietoja, jotta Canonin tietoturva-asiantuntijat voivat toisintaa haavoittuvuuden. Sisällytä viestiin erityisesti seuraavat asiat:

  • Haavoittuvuuden tyyppi
  • Yksityiskohtaiset ohjeet haavoittuvuuden toisintamiseen
  • Tapa, jolla havaitsit haavoittuvuuden
  • Koko URL-osoite
  • Kohteet (kuten suodattimet tai syöttökentät), jotka voivat vaikuttaa haavoittuvuuteen
  • Näyttökuvista on paljon apua
  • Kirjoita oma IP-osoitteesi haavoittuvuutta koskevaan ilmoitukseen. Säilytämme tietoa luottamuksellisena ja sitä käytetään vain testaukseen ja lokitietojen tunnistamiseen.

Älä liitä ilmoitukseen automaattisesti tietoturvaohjelmien raportteja.


Älä liitä ilmoitukseen seuraavia tietoja:
  • Palveluestohyökkäyksiin liittyviä haavoittuvuuksia (joiden valtava määrä voi heikentää palvelumme toimintaa).
  • TLS-asetuksien haavoittuvuuksia (kuten heikon salauksen aiheuttamia ongelmia, TLS1.0-tukeen liittyviä virheitä tai sweet32-tietoja).
  • Sähköpostiosoitteen tunnistamiseen ja tilin luontiin liittyviä ongelmia osoitteessa myid.canon.
  • XSS-haavoittuvuuksia
  • Yhdistettyjä komentosarjoja, jotka liittyvät sisältöön osoitteessa www.canon.*
  • Suojaamattomia evästeitä, jotka liittyvät osoitteeseen www.canon.*
  • CSRF- ja CRLF-hyökkäyksiä, joiden vaikutus on vähäinen.
  • HTTP-toimialuenimeen liittyviä XSS-haavoittuvuuksia ilman soveltuvuusselvitystä.
  • Epätäydellinen/puuttuva SPF/DMARC/DKIM
  • Käyttäjien manipulointiin perustuvia hyökkäyksiä
  • Tietoturvavirheet Canonin kanssa integroitavissa kolmansien osapuolten sivustoissa
  • Verkkotietojen luettelointitekniikoita (esim. banneritietojen kaappaus tai julkisesti saatavilla olevat palvelimen vianmäärityssivut)
  • Raportteja, jotka osoittavat, että palvelumme eivät täysin vastaa "parhaita käytäntöjä".

Miten käsittelemme ilmoitustasi

Canonin tietoturva-asiantuntijat tutkivat ilmoituksesi ja ovat yhteydessä sinuun viiden arkipäivän kuluessa.


Yksityisyytesi

Käytämme henkilötietojasi vain ilmoitukseesi liittyviin toimiin. Emme jaa henkilötietojasi muille ilman nimenomaista lupaasi.


Säännöt

Mahdolliset laittomat toimet

Jos havaitset haavoittuvuuden ja tutkit sitä, voit suorittaa toimenpiteitä, jotka ovat lainvastaisia. Jos noudatat alla olevia IT-järjestelmiemme haavoittuvuuksien ilmoittamista koskevia sääntöjä ja periaatteita, emme raportoi lainvastaisia toimia viranomaisille emmekä lähetä korvausvaatimusta.

On kuitenkin tärkeää tietää, että yleinen syyttäjä (ei CANON) voi päättää syytteeseen asettamisesta, vaikka emme olisi tehneet ilmoitusta lainvastaisista toimista viranomaisille. Emme voi siis taata, että sinua ei syytetä, jos syyllistyt haavoittuvuuden tutkintaan liittyvään lainvastaiseen toimintaan.

Yhdysvaltain oikeusministeriön (Ministry of Security and Justice) National Cyber Security Centre on laatinut ohjeet IT-järjestelmien haavoittuvuuksien ilmoittamisesta. Sääntömme perustuvat näihin ohjeisiin. (https://english.ncsc.nl/)


Yleiset periaatteet

Toimi vastuullisesti ja noudata erityistä varovaisuutta. Kun tutkit asiaa, käytä vain sellaisia menetelmiä tai tekniikoita, jotka ovat välttämättömiä haavoittuvuuden löytämiseksi tai sen esittelemiseksi.

  • Älä käytä havaintojasi muihin tarkoituksiin kuin omiin tutkimuksiisi.
  • Älä manipuloi käyttäjiä saadaksesi pääsyn IT-järjestelmään.
  • Älä asenna takaovia edes järjestelmän haavoittuvuuden testaamista varten. Takaovet heikentävät järjestelmän yleistä turvallisuutta.
  • Älä muuta tai poista mitään järjestelmän tietoja. Jos sinun on kopioitava tietoja tutkimusta varten, älä koskaan kopioi niitä enempää kuin tarvitset. Jos yksi tietue riittää, älä kopioi enempää tietoja.
  • Älä muuta järjestelmää millään tavalla.
  • Tunkeudu ilman lupaa järjestelmään vain, jos se on ehdottoman välttämätöntä. Jos pääset ilman lupaa sisään järjestelmään, älä jaa pääsyä muiden kanssa.
  • Älä käytä väsytyshyökkäyksiä, kuten salasanojen antamista toistuvasti, jotta pääset käsiksi järjestelmiin.
  • Älä käytä palvelunestohyökkäyksiä käyttöoikeuden hankkimiseen.

Usein kysyttyjä kysymyksiä

Saanko palkkion tekemästäni tutkimustyöstä?

Ei, sinulla ei ole oikeutta palkkioon tai korvaukseen.

Voinko julkaista tiedon havaitsemastani haavoittuvuudesta?

Älä julkaise Canonin IT-järjestelmissä havaitsemiasi haavoittuvuuksia ilman, että kysyt asiasta ensin sähköpostitse osoitteesta appsec@canon-europe.com. Voimme yhdessä estää rikollisia käyttämästä väärin tietojasi. Ota yhteyttä tietoturvatiimiimme, niin voimme yhdessä julkaista tiedon haavoittuvuudesta.

Voinko ilmoittaa haavoittuvuudesta nimettömästi?

Kyllä. Sinun ei tarvitse kertoa nimeäsi tai antaa yhteystietojasi, kun ilmoitat havaitsemastasi haavoittuvuudesta. Huomaa kuitenkin, että siinä tapauksessa emme voi ottaa sinuun yhteyttä liittyen mahdollisiin jatkotoimenpiteisiin.

Mihin tätä sähköpostiosoitetta ei saa käyttää?

Sähköpostiosoitetta appsec@canon-europe.com ei saa käyttää seuraaviin tarkoituksiin:

  • Valitusten lähettäminen Canon-tuotteista tai -palveluista
  • Kysymyksien ja valituksien lähettäminen Canonin verkkosivustojen saatavuudesta.
  • Petoksesta tai petosepäilystä ilmoittaminen
  • Tietojenkalasteluviesteistä ilmoittaminen
  • Viruksista ilmoittaminen

Tarvitset ehkä myös