Politica di divulgazione delle vulnerabilità

Introduzione

Ansell è un esperto globale di soluzioni di sicurezza, che da 125 anni reinventa la protezione personale. Forniamo le soluzioni di protezione più avanzate a milioni di persone al lavoro e a casa, tenendole al riparo dai rischi. Le nostre competenze, i prodotti innovativi e la tecnologia avanzata offrono ai nostri clienti la tranquillità e la sicurezza che nessun altro marchio è in grado di offrire. La missione di Ansell è di fornire soluzioni di sicurezza innovative in un modo affidabile e preciso, creando un mondo protetto da Ansell.

Questa politica ha lo scopo di fornire ai ricercatori di sicurezza linee guida chiare per lo svolgimento delle attività di scoperta delle vulnerabilità e di comunicare le nostre preferenze sulle modalità di invio delle vulnerabilità di cybersecurity scoperte.

Questa politica descrive quali sistemi e tipi di ricerca sono coperti da questa politica, come inviarci le segnalazioni di vulnerabilità e quanto tempo chiediamo ai ricercatori di sicurezza di aspettare prima di divulgare pubblicamente una vulnerabilità di sicurezza informatica.

Vi invitiamo a contattarci per segnalare qualsiasi potenziale vulnerabilità nei nostri sistemi.

Autorizzazione

Se l'utente si sforza in buona fede di rispettare questa politica durante la sua ricerca sulla sicurezza, considereremo la sua ricerca come autorizzata e collaboreremo con l'utente per comprendere e risolvere rapidamente qualsiasi problema di sicurezza informatica, e Ansell non raccomanderà o perseguirà azioni legali relative alla sua ricerca. Nel caso in cui una terza parte dovesse avviare un'azione legale nei vostri confronti per attività condotte in conformità a questa politica, renderemo nota questa autorizzazione.

Linee guida

1. Segnalare nuove ed esclusive vulnerabilità di cybersecurity: Questo ci aiuta a concentrarci sulla risoluzione dei rischi di maggiore impatto per noi e per i nostri clienti. Non inviare un volume elevato di segnalazioni di bassa qualità/basso rischio.
2. Non compromettere i sistemi o esfiltrare i dati: Utilizzare gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità di cybersecurity. Una volta ottenute informazioni sufficienti a indicare un problema di sicurezza, non cercate di stabilire la persistenza, di puntare, enumerare o esfiltrare i dati interni, di stabilire l'accesso alla riga di comando, di utilizzare una vulnerabilità per passare ad altri sistemi. Interrompere il test e informare immediatamente solo Ansell se si riscontrano dati sensibili (comprese le informazioni di identificazione personale, le informazioni finanziarie, le informazioni proprietarie o i segreti commerciali di qualsiasi parte).
3. Rispettare gli altri: non farlo: violare la privacy dei dipendenti o dei clienti di Ansell, accedere o tentare di accedere a dati che non vi appartengono; causare un degrado dell'esperienza dell'utente, condurre attacchi non tecnici (ad esempio, social engineering, phishing o accesso non autorizzato all'infrastruttura e ai dipendenti di Ansell) o eseguire azioni che possano influire negativamente su Ansell o sui suoi clienti; causare l'interruzione dei sistemi di produzione e l'esposizione, la distruzione o la manipolazione dei dati.
4. Collaborare: collaborate con noi solo attraverso il nostro processo di divulgazione coordinata non appena viene identificata una vulnerabilità di cybersecurity. L'indirizzo e-mail e il modulo Web HTTPS sono disponibili di seguito.
5. Comunicateci (attraverso i passaggi indicati di seguito) non appena scoprite un problema di sicurezza reale o potenziale con il nostro sistema. Desideriamo affrontare tempestivamente questi problemi e chiediamo che la tempestività della comunicazione non venga sacrificata mentre voi state conducendo ulteriori ricerche, ad esempio su altri prodotti.
6. Forniteci un periodo di tempo ragionevole per risolvere il problema prima di renderlo pubblico. 90 giorni di calendario dal ricevimento da parte nostra (software, compresi i sistemi basati su cloud e le applicazioni mobili) o 120 giorni di calendario dal ricevimento da parte nostra (hardware, firmware e wireless).

Divulgazione al pubblico

Come indicato nelle linee guida di cui sopra, per rispettare questa politica vi chiediamo di astenervi dal condividere la vostra segnalazione su Ansell con altri prima di averla inoltrata a noi e mentre indaghiamo sulla sospetta vulnerabilità della cybersecurity e lavoriamo potenzialmente su una patch o altre soluzioni. Vi invitiamo a segnalare a noi eventuali problemi di Ansell prima di effettuare una divulgazione.

Vi informeremo quando avremo completato le nostre scoperte dopo che la vulnerabilità della sicurezza informatica sarà stata risolta. Per rispettare questa politica, vi chiediamo di inserire un link alle scoperte di Ansell insieme alle vostre scoperte in qualsiasi post su blog, relazioni pubbliche, presentazioni o altre dichiarazioni pubbliche sull'argomento. A parte l'eventuale elencazione di una cronologia generale relativa alla vulnerabilità che ci avete segnalato, non pubblicheremo informazioni su di voi o sulle nostre comunicazioni con voi senza il vostro consenso. Se desiderate essere riconosciuti, vi ringrazieremo con il vostro nome o con la vostra firma nel nostro avviso. Ansell non accredita i dipendenti o gli appaltatori di Ansell e delle sue consociate per le vulnerabilità che hanno trovato.

Nella misura in cui la presente politica fa riferimento a una "vulnerabilità" o a "vulnerabilità", è inteso e compreso che tutti i riferimenti di questo tipo si riferiscono a vulnerabilità di cybersecurity potenziali o sospette, indipendentemente dal fatto che siano dichiarate o meno, fino a quando tali vulnerabilità non siano state esaminate e confermate da Ansell. La decisione di riconoscere o meno la divulgazione di una vulnerabilità e la tempistica del riconoscimento sono interamente a nostra discrezione e possiamo cancellare il programma in qualsiasi momento. I test non devono violare alcuna legge.

Metodo di prova

I seguenti metodi di prova non sono autorizzati:

• Test di negazione del servizio di rete (DoS o DDoS) o altri test che compromettono l'accesso o danneggiano un sistema o i dati.
• Test fisici (ad es. accesso all'ufficio, porte aperte, pedinamenti), social engineering (ad es. phishing, vishing) o qualsiasi altro test di vulnerabilità non tecnico.

In generale

Questa politica si applica ai seguenti sistemi e servizi:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianpartner.com
• https://ansell.corvexconnected.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Qualsiasi altro sottodominio di ansell.com

Tutte le applicazioni dei clienti sono escluse da questa politica.

Vulnerabilità fuori campo

Quando si segnalano le vulnerabilità, si prega di considerare (1) lo scenario di attacco / sfruttabilità e (2) l'impatto sulla sicurezza del bug. Le seguenti questioni sono considerate fuori campo:

• Clickjacking su pagine senza azioni sensibili
• Cross-Site Request Forgery (CSRF) su moduli non autenticati o su moduli senza azioni sensibili
• Attacchi che richiedono l'accesso fisico o MITM al dispositivo dell'utente.
• Librerie vulnerabili precedentemente conosciute senza un Proof of Concept funzionante
• Iniezione di valori separati da virgole (CSV) senza dimostrare una vulnerabilità.
• Mancano le migliori pratiche nella configurazione SSL/TLS.
• Qualsiasi attività che possa portare all'interruzione del nostro servizio (DoS)
• Problemi di spoofing dei contenuti e di iniezione di testo senza mostrare un vettore di attacco/senza poter modificare HTML/CSS
• Problemi di limitazione della velocità o di forza bruta su endpoint non di autenticazione
• Mancano le best practice nella politica di sicurezza dei contenuti
• Mancano i flag Solo Http o Sicuro sui cookie
• Mancanza di best practice per le e-mail (record SPF/DKIM/DMARC non validi, incompleti o mancanti, ecc.).
• Vulnerabilità che interessano solo gli utenti di browser obsoleti o privi di patch [Meno di 2 versioni stabili rispetto all'ultima versione stabile rilasciata].
• Divulgazione della versione del software / Problemi di identificazione del banner / Messaggi di errore o intestazioni descrittive (ad es. tracce di stack, errori dell'applicazione o del server)
• Tabnabbing
• Reindirizzamento aperto - a meno che non si possa dimostrare un impatto aggiuntivo sulla sicurezza.
• Problemi che richiedono un'improbabile interazione con l'utente

Tutti i servizi non espressamente elencati sopra, come ad esempio i servizi collegati, sono esclusi dall'ambito di applicazione e non sono autorizzati per il collaudo. Inoltre, le vulnerabilità di cybersecurity riscontrate nei sistemi dei nostri fornitori non rientrano nell'ambito di applicazione di questa politica e devono essere segnalate direttamente al fornitore in base alla sua politica di divulgazione (se presente). Se non siete sicuri che un sistema rientri o meno nell'ambito di applicazione, contattateci all'indirizzo security.vdr@ansell.com prima di iniziare la ricerca.

Sebbene sviluppiamo e gestiamo altri sistemi o servizi accessibili via Internet, chiediamo che la ricerca attiva e i test siano condotti solo sui sistemi e sui servizi coperti dall'ambito di questo documento. Se c'è un sistema particolare non compreso nell'ambito di applicazione che ritenete meriti di essere testato, contattateci per discuterne prima. Intendiamo aumentare la portata di questa politica nel tempo.

Segnalazione di una vulnerabilità

Le informazioni inviate in base a questa politica saranno utilizzate esclusivamente a scopo difensivo, per mitigare o rimediare alle vulnerabilità della cybersecurity. Non condivideremo il vostro nome o le vostre informazioni di contatto senza un esplicito consenso.

Accettiamo segnalazioni di vulnerabilità tramite il modulo sottostante o tramite security.vdr@ansell.com. Le segnalazioni possono essere inviate in forma anonima. Se condividete le informazioni di contatto, vi comunicheremo la ricezione della vostra segnalazione entro 3 giorni lavorativi.

Non supportiamo le e-mail con crittografia PGP. Per informazioni particolarmente sensibili, inviate il modulo web HTTPS qui sotto.

Cosa vorremmo vedere da voi

Per aiutarci a classificare e dare priorità alle richieste, raccomandiamo che le vostre segnalazioni:

• Descrivere il luogo in cui è stata scoperta la vulnerabilità di cybersecurity e il potenziale impatto dello sfruttamento.
• Offrire una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità di cybersecurity (sono utili script di prova o schermate), tra cui (se applicabile):
  o Versione dell'applicazione mobile
  o Tipo di dispositivo, versione del sistema operativo, versione del browser
• Se possibile, in inglese.

Cosa potete aspettarvi da noi

Quando scegliete di condividere con noi le vostre informazioni di contatto, ci impegniamo a coordinarci con voi nel modo più aperto e rapido possibile.

• Entro 5 giorni lavorativi, vi comunicheremo che la vostra segnalazione è stata ricevuta.
• Per quanto possibile, confermeremo al cliente l'esistenza della vulnerabilità di cybersecurity e saremo il più trasparenti possibile sui passi che stiamo compiendo durante il processo di bonifica, compresi i problemi o le difficoltà che possono ritardare la risoluzione.
• Manterremo un dialogo aperto per discutere i problemi.
• Segnalando un bug o una vulnerabilità di sicurezza, ci date il diritto di utilizzare la vostra segnalazione per qualsiasi scopo.

Domande

Le domande relative a questa politica possono essere inviate a security.vdr@ansell.com. Vi invitiamo inoltre a contattarci con suggerimenti per migliorare questa politica.