iStock_80038439_XXXLARGE

Canons säkerhet

På den här sidan hittar du viktig information om Canons säkerhet


Policy för upplysningar om säkerhet

På Canon tar vi säkerheten för våra IT-system på allvar och värdesätter säkerhetscommunityt. Upplysningarna om säkerhetsbrister hjälper oss att säkerställa våra användares säkerhet och sekretess genom att agera som en pålitlig partner. I den här policyn förklaras kraven och mekanismen som rör Canons EMEA-policy för upplysningar om brister i IT-system som gör det möjligt för forskare att rapportera sårbarheter i säkerheten på ett säkert och etiskt sätt till Canons EMEA-informationssäkerhetssteam.

Den här policyn gäller alla, även interna medarbetare på Canon och externa deltagare.


Omfattning

Canons EMEA-informationssäkerhetssteam strävar efter att skydda Canons kunder och anställda. Som en del av det här åtagandet bjuder vi in säkerhetsforskare för att hjälpa till att skydda Canon genom att proaktivt rapportera säkerhetsbrister. Du kan rapportera information om dina fynd till: product-security@canon-europe.com


Domäner som omfattas

Det här är en lista över domäner som omfattas av Canons policy för upplysningar om brister.

*.canon-europe.com

*.canon.nl

*.canon.co.uk

*.canon.com.tr

*.canon.com.de

*.canon.com.sa

*.canon.com.ae

*.canon.com.jp

*.canon.com.ca

*.canon.no

*.canon.es

*.canon.se

*.canon.pl

*.canon.be

*.canon.pt

*.canon.it

*.canon.dk

*.canon.ch

*.canon.fi

*.canon.at

*.canon.fr

*.canon.ie

*.uaestore.canon.me.com

 



Rapportera en sårbarhet

Du kan rapportera sårbarheter till oss via e-post: product-security@canon-europe.com. Ange tydligt i e-postmeddelandet vilka sårbarheter du har hittat, så uttryckligt och detaljerat som möjligt, och tillhandahåll eventuella bevis. Tänk på att meddelandet kommer att granskas av Canons säkerhetsspecialister. Ange följande i e-postmeddelandet:

  • Typ av sårbarhet
  • Stegvisa anvisningar om hur sårbarheten reproduceras
  • Ditt tillvägagångssätt
  • Hela webbadressen
  • Objekt (som filter eller inmatningsfält) som kan vara berörda
  • Skärmbilder uppskattas
  • Ange din IP-adress i rapporten om sårbarheter. Den förblir privat för att spåra dina testaktiviteter och granska loggarna från vår sida

Vi accepterar inte resultat från automatiserade programvaruscanningar.


Följande accepteras inte:
  • Volymetriska sårbarheter/sårbarheter om överbelastning (Denial of Service) (dvs. helt enkelt överbelasta vår tjänst med en stor mängd förfrågningar)
  • Brister i TLS-konfigurationen (t.ex. ”svagt” stöd för chiffersvit, TLS1.0-stöd, sweet32 osv.)
  • Problem kring verifieringen av e-postadresser som används för att skapa användarkonton relaterade till myid.canon
  • ”Eget” XSS
  • Skript med blandat innehåll på www.canon.*
  • Osäkra cookies på www.canon.*
  • CSRF- och CLRF-attacker där påverkan är minimal
  • HTTP-värdhuvud XSS utan fungerande konceptbevis
  • Ofullständig/utebliven SPF/DMARC/DKIM
  • Attacker genom social manipulering
  • Säkerhetsbuggar på webbplatser från tredje part som integreras med Canon
  • Uppräkningstekniker för nätverksdata (t.ex. banner grabbing, förekomst av allmänt tillgängliga sidor med serverdiagnostik)
  • Rapporter som anger att våra tjänster inte överensstämmer helt med ”bästa praxis”

Så behandlar vi din rapport

Canons informationssäkerhetsexperter undersöker din rapport och kontaktar dig inom fem arbetsdagar.


Din integritet

Vi använder endast dina personuppgifter för att vidta åtgärder baserat på din rapport. Vi delar inte dina personuppgifter med andra utan ditt uttryckliga tillstånd.


Regler

Potentiellt olagliga åtgärder

Om du upptäcker en brist och undersöker den kan det innebära att du vidtar åtgärder som är straffbara enligt lag. Om du följer reglerna och principerna nedan för att rapportera brister i våra IT-system rapporterar vi inte ditt brott till myndigheterna och skickar inte in något anspråk.

Det är däremot viktigt att du känner till att åklagarmyndigheten – inte CANON – kan avgöra om du blir åtalad eller inte, även om vi inte har rapporterat ditt brott till myndigheterna. Det innebär att vi inte kan garantera att du inte blir åtalad om du begår ett straffbart brott när du undersöker en brist.

Det nationella cybersäkerhetscentrumet (National Cyber Security Centre) inom säkerhets- och justitieministeriet har skapat riktlinjer för rapportering av brister i IT-system. Våra regler baseras på dessa riktlinjer. (https://english.ncsc.nl/)


Allmänna principer

Ta ansvar och agera med yttersta försiktighet. Använd endast metoder eller tekniker som behövs för att hitta eller visa bristerna när du undersöker ärendet.

  • Använd inte brister som du upptäcker för andra ändamål än din egen undersökning.
  • Använd inte social manipulering för att få åtkomst till ett system.
  • Installera inte några bakdörrar – inte ens för att visa sårbarheten i ett system. Bakdörrar försvagar systemets säkerhet.
  • Du får inte ändra eller radera någon information i systemet. Kopiera aldrig mer än du behöver om du behöver kopiera information för din undersökning. Gå inte längre om en post är tillräcklig.
  • Ändra inte systemet på något sätt.
  • Infiltrera endast ett system om det är absolut nödvändigt. Dela inte åtkomsten med andra om du infiltrerar ett system.
  • Använd inte brute force-teknik, till exempel ange lösenord upprepade gånger, för att få åtkomst till system.
  • Använd inte DoS-attacker (Denial of Service) för att få åtkomst

Vanliga frågor och svar

Får jag en belöning för min undersökning?

Nej, du har inte rätt till någon ersättning.

Får jag publicera de brister jag hittar och min undersökning?

Publicera aldrig brister i Canons IT-system eller din undersökning utan att först rådfråga oss via e-post: product-security@canon-europe.com. Vi kan samarbeta för att förhindra att brottslingar missbrukar din information. Rådgör med vårt informationssäkerhetsteam så kan vi arbeta tillsammans mot en publicering.

Kan jag rapportera en brist anonymt?

Ja, det kan du. Du behöver inte ange ditt namn och dina kontaktuppgifter när du rapporterar en brist. Vi kommer dock inte att kunna kontakta dig angående uppföljningsåtgärder, t.ex. hur vi behandlar din rapport eller ytterligare samarbete.

Vad ska jag inte använda den här e-postadressen till?

E-posten product-security@canon-europe.com är inte avsedd för följande:

  • Skicka klagomål om Canons produkter eller tjänster
  • Skicka frågor eller klagomål om tillgängligheten på Canons webbplatser
  • Rapportera bedrägeri eller misstanke om bedrägeri
  • Rapportera falska e-postmeddelanden eller nätfiskemeddelanden
  • Rapportera virus

Du kanske också behöver ...