Contacte-nos
Contacte-nos para obter assistência por telefone ou e-mail
Segurança Canon
Nesta página, encontrará informações importantes acerca da segurança dos produtos Canon
Política de divulgação de segurança
Política de divulgação de segurança
Na Canon, levamos a sério a segurança dos nossos sistemas de TI e valorizamos a comunidade de segurança. A divulgação de pontos fracos de segurança ajuda-nos a assegurar a segurança e a privacidade dos nossos utilizadores, agindo como um parceiro de confiança. Esta política explica o requisito e o mecanismo relacionados com a Divulgação de vulnerabilidades dos sistemas de TI da Canon EMEA que permite aos investigadores comunicar vulnerabilidades de segurança de forma segura e ética à equipa de Segurança da Informação da Canon EMEA.
Esta Política aplica-se a todos, incluindo a participantes internos da Canon e externos.
Âmbito
A Equipa de Segurança da Informação da Canon EMEA está empenhada em proteger os clientes e funcionários da Canon e, como parte deste compromisso, convidamos os investigadores de segurança a ajudarem a proteger a Canon, comunicando proativamente vulnerabilidades e pontos fracos de segurança. Pode comunicar os detalhes da(s) sua(s) observação(ões) através do endereço: appsec@canon-europe.com
| Domínios abrangidos | |
|---|---|
| Esta é a lista de domínios que estão incluídos como parte da Política de divulgação de vulnerabilidades da Canon. | |
| *.canon-europe.com | *.canon.nl |
| *.canon.co.uk | *.canon.com.tr |
| *.canon.com.de | *.canon.com.sa |
| *.canon.com.ae | *.canon.com.jp |
| *.canon.com.ca | *.canon.no |
| *.canon.es | *.canon.se |
| *.canon.pl | *.canon.be |
| *.canon.pt | *.canon.it |
| *.canon.dk | *.canon.ch |
| *.canon.fi | *.canon.at |
| *.canon.fr | *.canon.ie |
| *.uaestore.canon.me.com | |
Comunicar uma vulnerabilidade
Pode comunicar-nos pontos fracos por e-mail: appsec@canon-europe.com. Indique concisamente no seu e-mail quais os pontos fracos que encontrou da forma mais explícita e detalhada possível e forneça quaisquer indícios que possa ter, tendo em atenção que a mensagem será revista pelos especialistas em Segurança da Canon. Em particular, inclua o seguinte no seu e-mail:
- O tipo de vulnerabilidade
- As instruções passo a passo sobre como reproduzir a vulnerabilidade
- A abordagem que utilizou
- O URL completo
- Objetos (como filtros ou campos de entrada) possivelmente envolvidos
- As capturas de ecrã são muito apreciadas
- Forneça o seu endereço IP no Relatório de pontos fracos. Este será mantido privado para monitorizar as suas atividades de teste e para rever os registos do nosso lado
Não aceitamos saídas de scanners de software automatizadas.
O que não será aceite:
- Vulnerabilidades volumétricas/de Negação de Serviço (ou seja, sobrecarregar simplesmente o nosso serviço com um elevado volume de pedidos)
- Pontos fracos da configuração TLS (por exemplo, suporte de conjuntos de encriptação "fracos", suporte TLS1.0, sweet32, etc.)
- Problemas relacionados com a verificação de endereços de e-mail utilizados para criar contas de utilizador relacionadas com o myid.canon
- XSS "próprio"
- Scripts de conteúdo misto em www.canon.*
- Cookies inseguros em www.canon.*
- Ataques CSRF e CRLF em que o impacto resultante é mínimo
- HTTP Host Header XSS sem prova de conceito funcional
- SPF/DMARC/DKIM incompleto/em falta
- Ataques de engenharia social
- Erros de segurança em websites de terceiros que se integram com a Canon
- Técnicas de enumeração de dados de rede (por exemplo, captura de banners, existência de páginas de diagnóstico de servidor disponíveis publicamente)
- Relatórios que indicam que os nossos serviços não estão totalmente alinhados com as "melhores práticas"
O que fazemos com o seu relatório
Os especialistas em Segurança da Informação da Canon irão investigar o seu relatório e contactá-lo no prazo de 5 dias úteis.
A sua privacidade
Apenas utilizaremos os seus dados pessoais para tomar medidas com base no seu relatório. Não partilharemos os seus dados pessoais com outras pessoas sem a sua autorização expressa.
Regras
Ações potencialmente ilegaisSe descobrir um ponto fraco e o investigar, poderá realizar ações puníveis por lei. Se seguir as regras e os princípios abaixo indicados para comunicar pontos fracos nos nossos sistemas de TI, não comunicaremos a sua infração às autoridades e não apresentaremos uma reclamação.
No entanto, é importante que saiba que o Ministério Público – e não a CANON – pode decidir processá-lo ou não, mesmo que não tenhamos denunciado a sua infração às autoridades. Isto significa que não podemos garantir que não será processado se cometer uma infração punível ao investigar um ponto fraco.
O Centro Nacional de Segurança Cibernética do Ministério da Segurança e da Justiça criou diretrizes para comunicar pontos fracos em sistemas de TI. As nossas regras baseiam-se nestas diretrizes. (https://english.ncsc.nl/)
Princípios gerais
Assuma a responsabilidade e aja com extremo cuidado e cautela. Ao investigar a questão, utilize apenas métodos ou técnicas que sejam necessários para encontrar ou demonstrar os pontos fracos.
- Não utilize pontos fracos que descobrir para outros fins que não a sua própria investigação específica.
- Não utilize engenharia social para obter acesso a um sistema.
- Não instale quaisquer backdoors, nem mesmo para demonstrar a vulnerabilidade de um sistema. Os backdoors enfraquecem a segurança do sistema.
- Não altere nem elimine quaisquer informações no sistema. Se necessitar de copiar informações para a sua investigação, nunca copie mais do que o necessário. Se um registo for suficiente, não copie mais.
- Não altere o sistema de qualquer forma.
- Se absolutamente necessário, infiltre-se apenas num sistema. Se conseguir infiltrar-se num sistema, não partilhe o acesso com outras pessoas.
- Não utilize técnicas de força bruta, como introduzir palavras-passe repetidamente, para obter acesso aos sistemas.
- Não utilize o tipo de ataques de Negação de Serviço (DoS) para obter acesso
Perguntas frequentes
Vou receber uma recompensa pela minha investigação?
Não, não tem direito a qualquer compensação.
Estou autorizado a divulgar os pontos fracos que encontro e a minha investigação?
Nunca divulgue pontos fracos nos sistemas de TI da Canon ou na sua investigação sem nos consultar primeiro através do e-mail: appsec@canon-europe.com. Podemos trabalhar em conjunto para evitar que os criminosos abusem das suas informações. Consulte a nossa equipa de Segurança da Informação e podemos trabalhar em conjunto para a publicação.
Posso comunicar um ponto fraco anonimamente?
Sim, pode. Não tem de mencionar o seu nome e detalhes de contacto quando comunica um ponto fraco. No entanto, tenha em atenção que não poderemos consultá-lo acerca de medidas de acompanhamento, por exemplo, o que fazemos com o seu relatório ou sobre futuras colaborações.
Para que não devo utilizar este endereço de e-mail?
O e-mail: appsec@canon-europe.com não se destina ao seguinte:
- Enviar reclamações sobre produtos ou serviços da Canon
- Enviar perguntas ou reclamações sobre a disponibilidade dos websites da Canon.
- Denunciar fraude ou suspeita de fraude
- Denunciar e-mails falsos ou e-mails de phishing
- Denunciar vírus
