iStock_80038439_XXXLARGE

Segurança Canon

Nesta página, encontrará informações importantes acerca da segurança dos produtos Canon


Política de divulgação de segurança

Na Canon, levamos a sério a segurança dos nossos sistemas de TI e valorizamos a comunidade de segurança. A divulgação de pontos fracos de segurança ajuda-nos a assegurar a segurança e a privacidade dos nossos utilizadores, agindo como um parceiro de confiança. Esta política explica o requisito e o mecanismo relacionados com a Divulgação de vulnerabilidades dos sistemas de TI da Canon EMEA que permite aos investigadores comunicar vulnerabilidades de segurança de forma segura e ética à equipa de Segurança da Informação da Canon EMEA.

Esta Política aplica-se a todos, incluindo a participantes internos da Canon e externos.


Âmbito

A Equipa de Segurança da Informação da Canon EMEA está empenhada em proteger os clientes e funcionários da Canon e, como parte deste compromisso, convidamos os investigadores de segurança a ajudarem a proteger a Canon, comunicando proativamente vulnerabilidades e pontos fracos de segurança. Pode comunicar os detalhes da(s) sua(s) observação(ões) através do endereço: product-security@canon-europe.com


Domínios abrangidos

Esta é a lista de domínios que estão incluídos como parte da Política de divulgação de vulnerabilidades da Canon.

*.canon-europe.com

*.canon.nl

*.canon.co.uk

*.canon.com.tr

*.canon.com.de

*.canon.com.sa

*.canon.com.ae

*.canon.com.jp

*.canon.com.ca

*.canon.no

*.canon.es

*.canon.se

*.canon.pl

*.canon.be

*.canon.pt

*.canon.it

*.canon.dk

*.canon.ch

*.canon.fi

*.canon.at

*.canon.fr

*.canon.ie

*.uaestore.canon.me.com

 



Comunicar uma vulnerabilidade

Pode comunicar-nos pontos fracos por e-mail: product-security@canon-europe.com. Indique concisamente no seu e-mail quais os pontos fracos que encontrou da forma mais explícita e detalhada possível e forneça quaisquer indícios que possa ter, tendo em atenção que a mensagem será revista pelos especialistas em Segurança da Canon. Em particular, inclua o seguinte no seu e-mail:

  • O tipo de vulnerabilidade
  • As instruções passo a passo sobre como reproduzir a vulnerabilidade
  • A abordagem que utilizou
  • O URL completo
  • Objetos (como filtros ou campos de entrada) possivelmente envolvidos
  • As capturas de ecrã são muito apreciadas
  • Forneça o seu endereço IP no Relatório de pontos fracos. Este será mantido privado para monitorizar as suas atividades de teste e para rever os registos do nosso lado

Não aceitamos saídas de scanners de software automatizadas.


O que não será aceite:
  • Vulnerabilidades volumétricas/de Negação de Serviço (ou seja, sobrecarregar simplesmente o nosso serviço com um elevado volume de pedidos)
  • Pontos fracos da configuração TLS (por exemplo, suporte de conjuntos de encriptação "fracos", suporte TLS1.0, sweet32, etc.)
  • Problemas relacionados com a verificação de endereços de e-mail utilizados para criar contas de utilizador relacionadas com o myid.canon
  • XSS "próprio"
  • Scripts de conteúdo misto em www.canon.*
  • Cookies inseguros em www.canon.*
  • Ataques CSRF e CLRF em que o impacto resultante é mínimo
  • HTTP Host Header XSS sem prova de conceito funcional
  • SPF/DMARC/DKIM incompleto/em falta
  • Ataques de engenharia social
  • Erros de segurança em websites de terceiros que se integram com a Canon
  • Técnicas de enumeração de dados de rede (por exemplo, captura de banners, existência de páginas de diagnóstico de servidor disponíveis publicamente)
  • Relatórios que indicam que os nossos serviços não estão totalmente alinhados com as "melhores práticas"

O que fazemos com o seu relatório

Os especialistas em Segurança da Informação da Canon irão investigar o seu relatório e contactá-lo no prazo de 5 dias úteis.


A sua privacidade

Apenas utilizaremos os seus dados pessoais para tomar medidas com base no seu relatório. Não partilharemos os seus dados pessoais com outras pessoas sem a sua autorização expressa.


Regras

Ações potencialmente ilegais

Se descobrir um ponto fraco e o investigar, poderá realizar ações puníveis por lei. Se seguir as regras e os princípios abaixo indicados para comunicar pontos fracos nos nossos sistemas de TI, não comunicaremos a sua infração às autoridades e não apresentaremos uma reclamação.

No entanto, é importante que saiba que o Ministério Público – e não a CANON – pode decidir processá-lo ou não, mesmo que não tenhamos denunciado a sua infração às autoridades. Isto significa que não podemos garantir que não será processado se cometer uma infração punível ao investigar um ponto fraco.

O Centro Nacional de Segurança Cibernética do Ministério da Segurança e da Justiça criou diretrizes para comunicar pontos fracos em sistemas de TI. As nossas regras baseiam-se nestas diretrizes. (https://english.ncsc.nl/)


Princípios gerais

Assuma a responsabilidade e aja com extremo cuidado e cautela. Ao investigar a questão, utilize apenas métodos ou técnicas que sejam necessários para encontrar ou demonstrar os pontos fracos.

  • Não utilize pontos fracos que descobrir para outros fins que não a sua própria investigação específica.
  • Não utilize engenharia social para obter acesso a um sistema.
  • Não instale quaisquer backdoors, nem mesmo para demonstrar a vulnerabilidade de um sistema. Os backdoors enfraquecem a segurança do sistema.
  • Não altere nem elimine quaisquer informações no sistema. Se necessitar de copiar informações para a sua investigação, nunca copie mais do que o necessário. Se um registo for suficiente, não copie mais.
  • Não altere o sistema de qualquer forma.
  • Se absolutamente necessário, infiltre-se apenas num sistema. Se conseguir infiltrar-se num sistema, não partilhe o acesso com outras pessoas.
  • Não utilize técnicas de força bruta, como introduzir palavras-passe repetidamente, para obter acesso aos sistemas.
  • Não utilize o tipo de ataques de Negação de Serviço (DoS) para obter acesso

Perguntas frequentes

Vou receber uma recompensa pela minha investigação?

Não, não tem direito a qualquer compensação.

Estou autorizado a divulgar os pontos fracos que encontro e a minha investigação?

Nunca divulgue pontos fracos nos sistemas de TI da Canon ou na sua investigação sem nos consultar primeiro através do e-mail: product-security@canon-europe.com. Podemos trabalhar em conjunto para evitar que os criminosos abusem das suas informações. Consulte a nossa equipa de Segurança da Informação e podemos trabalhar em conjunto para a publicação.

Posso comunicar um ponto fraco anonimamente?

Sim, pode. Não tem de mencionar o seu nome e detalhes de contacto quando comunica um ponto fraco. No entanto, tenha em atenção que não poderemos consultá-lo acerca de medidas de acompanhamento, por exemplo, o que fazemos com o seu relatório ou sobre futuras colaborações.

Para que não devo utilizar este endereço de e-mail?

O e-mail: product-security@canon-europe.com não se destina ao seguinte:

  • Enviar reclamações sobre produtos ou serviços da Canon
  • Enviar perguntas ou reclamações sobre a disponibilidade dos websites da Canon.
  • Denunciar fraude ou suspeita de fraude
  • Denunciar e-mails falsos ou e-mails de phishing
  • Denunciar vírus

Também pode precisar de...