CloudBlue si impegna a fondo per garantire la sicurezza e l'affidabilità di tutti CloudBlue prodotti. Per portare la sicurezza nel nostro ciclo di vita dello sviluppo software (SDLC), seguiamo il Modello di maturità della garanzia del software Metodologia (SAMM). Il nostro Secure SDLC garantisce che le attività di garanzia della sicurezza come test di penetrazione, revisione del codice e analisi dell'architettura siano parte integrante dello sforzo di sviluppo.

Squadra di sicurezza

Abbiamo un team dedicato responsabile per CloudBlue sicurezza dei prodotti. Fin dall'inizio dello sviluppo, il team di sicurezza partecipa alle revisioni del design per definire i requisiti di sicurezza insieme ai requisiti funzionali e per eseguire l'analisi del rischio dell'architettura.

Il team di sicurezza collabora quotidianamente con gli sviluppatori ed è costantemente alla ricerca di eventuali problemi di sicurezza nel CloudBlue base di codice. Il team di sicurezza crea anche l'infrastruttura di sicurezza per Secure SDLC. Per rilevare i problemi più comuni, utilizziamo la scansione automatica integrata nelle nostre pipeline di sviluppo software:

  • Ogni volta che un nuovo codice viene inviato a un repository, viene eseguita una scansione SAST (Static Application Security Testing) automatica.
  • Per le istanze distribuite di CloudBlue prodotti, viene eseguita una scansione DAST (Dynamic Application Security Testing) per rilevare i problemi di sicurezza in runtime.
  • L'esecuzione dell'analisi della composizione del software (SCA) viene utilizzata per garantire che non spediamo il nostro prodotto con dipendenze vulnerabili. Tiene traccia automaticamente delle dipendenze di terze parti e delle relative licenze per ogni componente. Ogni vulnerabilità nota deve essere risolta prima del rilascio.

Inoltre, quando viene sviluppata una nuova funzionalità, il team di sicurezza rivede manualmente il codice sorgente ed esegue test dinamici utilizzando diversi strumenti standard del settore.

Corsi di sicurezza

Nell'ambito della pratica SAMM Education & Guidance, ogni persona che partecipa al ciclo di vita del software riceve istruzioni su come sviluppare e distribuire software sicuro. I nostri sviluppatori sono consapevoli dei comuni rischi per la sicurezza descritti nella Top Ten di OWASP e i nostri team di ricerca e sviluppo seguono una formazione regolare per rafforzare gli argomenti di sicurezza utilizzando piattaforme di formazione commerciali, nonché corsi e materiali sviluppati internamente. La formazione è condotta annualmente e richiesta su richiesta.

Abbiamo anche fatto un passo avanti adottando l'iniziativa Security Champions. I Security Champions sono membri attivi di un team con un interesse per la sicurezza e il desiderio di contribuire alla sicurezza del nostro prodotto. Agiscono come elemento di supporto nel processo di assicurazione della sicurezza e hanno il ruolo di punto di contatto unico (SPOC) all'interno dei loro team.

Apri Web Application Security Project (OWASP)

L'open source è fantastico! Riteniamo che l'uso di standard e strumenti aperti guidati dalla comunità sia una parte essenziale dello sviluppo di software sicuro, soprattutto a lungo termine. Ecco perché abbiamo adottato diversi strumenti OWASP, li abbiamo resi parte del nostro Secure SDLC e abbiamo reso OWASP SAMM il fulcro del nostro Secure SDLC. Utilizzando l'open source, miriamo a:

  • Trai vantaggio dall'open source utilizzando standard e strumenti guidati dalla community.
  • Contribuisci all'open source verificando che si adatti alle soluzioni aziendali.

Per rendere l'aspetto della sicurezza di CloudBlue prodotti più trasparenti, seguiamo Standard di verifica della sicurezza dell'applicazione (ASV). ASVS è un framework guidato dalla comunità di requisiti e controlli di sicurezza che si concentra sulla definizione dei controlli di sicurezza funzionali e non funzionali necessari per progettare, sviluppare e testare moderne applicazioni Web e servizi Web. Non trattiamo questo standard come una fonte di verità immutabile, ma piuttosto come un punto di partenza per una discussione su un argomento di sicurezza.

Test di penetrazione esterna

Quando vengono spediti ai clienti, i nostri prodotti diventano parte della loro infrastruttura, aumentando la potenziale superficie di attacco. Questo è il motivo per cui i nostri clienti richiedono regolarmente ai propri team di sicurezza o esterni di eseguire test di penetrazione sui nostri prodotti per garantire che la sicurezza generale della loro infrastruttura non sia compromessa. I resoconti di tali test ci danno la possibilità di vedere dal punto di vista del cliente e comprendere meglio le sue esigenze e requisiti.

Crittografia

Adottiamo una serie di misure per garantire che i dati nei nostri prodotti siano crittografati.

casualità

Tutti i valori che devono essere casuali, come chiavi di crittografia generate casualmente e vettori di inizializzazione, vengono generati utilizzando un generatore di pseudo numeri crittograficamente sicuro.

Oltre alla corretta fonte di casualità, viene utilizzata la seguente dimensione minima di dati casuali:

ScopoEntropia minima (bit)
Chiavi crittografichePiù di 128
IV vettorePiù di 128
Session IDPiù di 80

Crittografia simmetrica

CloudBlue Commerce utilizza l'algoritmo Advanced Encryption Standard (AES) per crittografare i dati come raccomandato dal National Institute of Standards and Technology (NIST) per l'uso di archiviazione a lungo termine e perché è spesso incluso come parte dei requisiti di conformità dei clienti.

Utilizziamo le seguenti modalità AES:

  • AES in modalità Galois/Counter Mode (GCM).
  • AES in modalità Cipher Block Chaining (CBC) con codice di autenticazione messaggio hash (HMAC)

CifraScopoFormato di archiviazione
AES-128-CBC con IV casualeArchivia dati sensibili$AES-128-CBC${IV}${Dati crittografati in BASE64}
AES-128-GCM con Nonce univoco casualeArchivia e invia dati sensibili$AES-128-GCM${Nonce}${Dati crittografati in BASE64}
AES-128-CBC-HMAC con IV casualeArchivia e invia dati sensibili$AES-128-CBC${IV}${Dati crittografati in BASE64}${HMAC BASE64}

Sicurezza dei trasporti

Per fornire un trasferimento sicuro dei dati sulla rete, CloudBlue Commerce utilizza TLS 1.2 con le seguenti suite di crittografia:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

Certificazione

Lavoriamo costantemente per ampliare la copertura della conformità. Attualmente, siamo certificati da ISO27001:2013.

CloudBlue dispone di politiche e procedure in atto per dimostrare la conformità al GDPR e i termini del Codice di condotta GDPR di Cloud Security Alliance di CloudBlue e i nostri sub-incaricati. Per mostrare la conformità, CloudBlue è in grado di fornire prove sotto elencate:

  • Autovalutazione STAR disponibile sul sito Web di Cloud Security Alliance
  • Versione pubblica della politica di sicurezza delle informazioni e delle politiche di supporto
  • Certificato ISO 27001 (richiede un NDA)
  • Informativa sulla privacy: https://corp.inggrammicro.com/en-us/legal/privacy

Privacy e protezione dei dati

CloudBlue essendo un'organizzazione gestita a livello globale, è conforme a diverse leggi e normative sulla privacy dei dati, tra cui il Regolamento generale sulla protezione dei dati (GDPR), il California Consumer Privacy Act (CCPA) e il Codice di condotta GDPR di Cloud Security Alliance. Incorporiamo le misure di sicurezza tecniche e organizzative richieste e tuteliamo la protezione dei diritti dell'interessato.

Utilizzando i Servizi, accetti che possiamo utilizzare i Dati in conformità con la nostra Informativa sulla privacy, disponibile per saperne di più, clicca qui.

Ciascuna parte riconosce e accetta di rispettare la legislazione sulla protezione dei dati e sulla privacy applicabile all'adempimento di questi Termini ("Leggi sulla protezione dei dati"), come, a titolo esemplificativo, il California Consumer Privacy Act ("CCPA") e il Regolamento generale dell'Unione sulla protezione dei dati (Regolamento (UE) 2016/679) ("GDPR"), compreso l'utilizzo, il trattamento, la divulgazione, il trasferimento, la condivisione o l'elaborazione in qualsiasi modo e per qualsiasi scopo, di qualsiasi informazione relativa a una persona identificata o identificabile persona fisica ("Dati Personali") ricevuti da o per conto dell'altra parte, per la durata dei presenti Termini. Tutti i Dati Personali divulgati da una parte ed elaborati dall'altra parte nell'ambito dei presenti Termini sono informazioni riservate della parte divulgante e sono soggetti agli obblighi di riservatezza stabiliti nella clausola 9 dei presenti Termini.

L'utente riconosce di poter sfruttare alcune funzionalità delle funzionalità della Piattaforma per generare informazioni e dati sull'utente finale per le operazioni aziendali richieste. Se i dati dell'utente finale vengono richiesti e resi disponibili o accessibili a te, ai tuoi dipendenti, agenti o appaltatori, rispetterai pienamente tutte le leggi, i regolamenti e gli ordini del governo applicabili, inclusi quelli relativi ai Dati personali e/o alle informazioni di identificazione personale ( "PII") e la privacy dei dati in relazione a tali dati che ricevi o a cui hai accesso in base ai presenti Termini o in connessione con la prestazione di qualsiasi altro servizio che tu o un cliente ricevete. In caso contrario, proteggerai le PII e non utilizzerai, divulgherai o trasferirai oltre confine tali PII se non autorizzato dall'interessato o in conformità con le leggi applicabili. Nella misura in cui ricevi PII relative all'esecuzione di questi Termini, proteggerai la privacy e i diritti legali di tali terze parti.

Nonostante qualsiasi disposizione contraria nei presenti Termini, CloudBlue può copiare, modificare, distribuire e utilizzare in altro modo i Dati personali ricevuti da o per conto dell'utente nella misura necessaria allo scopo di fornire la Piattaforma e i Servizi. Garantisci e dichiari di avere già in essere o otterrai, a seconda dei casi, e di mantenere in vigore tutte le autorizzazioni, i consensi e le autorizzazioni richiesti dalle leggi applicabili per fornire o organizzare la fornitura di Dati personali a CloudBlue. Dichiari e garantisci di avere la piena capacità e il diritto legale di fornire e rendere disponibili i Dati personali a CloudBlue come previsto dai presenti Termini. Non metterai con nessun atto o omissione CloudBlue in violazione dei suoi obblighi legali ai sensi della normativa applicabile in materia di protezione dei dati e privacy e in relazione a questi Termini.

Nella misura in cui il CCPA si applica all'esecuzione dei presenti Termini da parte delle parti, i Dati personali utilizzati nei presenti Termini includono tutte le "informazioni personali" come definito nel CCPA. Ciascuna parte riconosce e accetta che, in relazione alla condivisione di tali Dati Personali con CloudBlue in questi Termini, CloudBlue è un "fornitore di servizi", come definito nel CCPA. Per quanto riguarda i Dati Personali costituiti da "informazioni personali" come definito nel CCPA, CloudBlue con la presente certifica di comprendere che è vietato (a) vendere quei Dati Personali (come "vendita" è definito nel CCPA), (b) conservare, utilizzare o divulgare tali Dati Personali per qualsiasi scopo diverso da quello specifico di eseguire i Servizi o come altrimenti consentito dal CCPA, incluso conservare, utilizzare o divulgare i Dati personali per uno scopo commerciale diverso dalla fornitura dei Servizi e (c) conservare, utilizzare o divulgare i Dati personali al di fuori della sua attività diretta rapporto con te.

CloudBlue utilizza l'algoritmo Advanced Encryption Standard (AES) per crittografare i dati inattivi. Tutti i dati a livello di archiviazione sono crittografati con AES256 per impostazione predefinita. Il traffico viene crittografato in transito utilizzando Transport Layer Security 1.2 (TLS) con un codice AES-256 standard del settore. TLS è un insieme di protocolli crittografici standard del settore utilizzati per crittografare le informazioni scambiate sulla rete.

La disponibilità è garantita sfruttando la nostra infrastruttura nel livello Premium di Azure, che offre disponibilità elevata tramite la ridondanza regionale.

GDPR e trattamento dei dati personali

Ai fini del trattamento dei Dati Personali provenienti dallo Spazio Economico Europeo, soggetto al GDPR, CloudBlue si impegna a incorporare nella presente clausola 11.2 un accordo sul trattamento dei dati (di seguito "DPA"), i cui termini sono parte integrante delle presenti Condizioni e si applicano solo se e nella misura CloudBlue sta elaborando Dati Personali nell'ambito della fornitura della Piattaforma e dei Servizi (collettivamente "Servizi Cloud").

I termini utilizzati nel presente DPA, ma non definiti nel presente documento (se presenti) hanno i significati rispettivamente stabiliti in questi Termini, nel GDPR o nel CCPA come applicabili.

Ciascuna parte riconosce e accetta che, nella misura in cui i Dati Personali siano soggetti al GDPR, il cliente è il “titolare del trattamento” di quei Dati Personali che CloudBlue elabora per suo conto e CloudBlue è il "responsabile del trattamento".

Nella misura in cui CloudBlue “tratta” (come tale termine è definito nel GDPR) Dati Personali soggetti al GDPR per conto del cliente, CloudBlue deve:

  • Trattare i Dati Personali forniti dal cliente solo secondo le sue istruzioni, per nessun altro scopo oltre a quelli determinati dal cliente, in quanto necessario per adempiere agli obblighi previsti dalle presenti Condizioni e per adempiere a un obbligo di legge.

Se, tuttavia, in qualsiasi momento durante l'esecuzione del presente DPA e dei presenti Termini, CloudBlue stabilisce che le istruzioni del cliente appaiano in qualsiasi modo illecite o non conformi alla normativa applicabile, CloudBlue informerà senza indebito ritardo il cliente e attenderà ulteriori istruzioni.

Adottare misure ragionevoli per garantire l'affidabilità del personale che ha accesso ai Dati Personali trattati nell'ambito dell'esecuzione degli obblighi previsti dai presenti Termini e che tutto il personale a cui CloudBlue divulga i Dati Personali siamo consapevoli che i Dati Personali sono informazioni riservate e soggette agli obblighi stabiliti nel presente DPA e nei presenti Termini.

  • Tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento e della natura dei Dati Personali, nonché del rischio e della gravità per i diritti e le libertà delle persone fisiche, prendere e mantenere durante l'esecuzione del presente DPA misure tecniche e organizzative adeguate contro il trattamento non autorizzato o illecito di tali Dati Personali e contro la perdita o la distruzione accidentale o il danneggiamento dei Dati Personali. Ulteriori informazioni sulle misure di sicurezza attuate da CloudBlue è disponibile ai sensi della clausola 10 qui sopra di questi Termini e previa richiesta scritta a CloudBlue. Accettando i presenti Termini e il presente DPA, il cliente accetta le misure di sicurezza adottate e attuate da CloudBlue.
  • Informare al più presto il cliente di qualsiasi richiesta da parte di un interessato di esercitare i propri diritti di accesso, rettifica, modifica, limitazione del trattamento o cancellazione ("diritto all'oblio"), portabilità dei dati, opposizione al trattamento dei dati personali di tale persona Dati o qualsiasi altra richiesta dell'interessato, comunicazioni di terzi, violazioni dei dati personali o perdita dei Dati personali del cliente e assistere e collaborare con il cliente al fine di impedirne le conseguenze e garantire il rispetto delle leggi sulla protezione dei dati applicabili. Il cliente sosterrà il costo irragionevole sostenuto da CloudBlue relative a tale assistenza e cooperazione.
  • Fornire un'assistenza ragionevole al cliente al fine di consentirgli di adempiere ai propri obblighi ai sensi delle leggi sulla protezione dei dati, comprese, a titolo esemplificativo, le richieste degli interessati, nella misura in cui il cliente non ha altrimenti accesso alle informazioni pertinenti e nella misura in cui tale le informazioni sono disponibili a CloudBlue. CloudBlue fornisce ragionevole assistenza al cliente nella cooperazione o previa consultazione con l'autorità di controllo in relazione allo svolgimento dei suoi compiti ai sensi del presente DPA, nella misura richiesta dalle leggi sulla protezione dei dati. Il cliente sosterrà il costo relativo a tale assistenza.
  • Al termine dei presenti Termini, cessa ogni trattamento dei Dati Personali del cliente e cancellerà o, su richiesta del cliente, restituirà tutti i file contenenti i Dati Personali, a meno che la conservazione dei Dati Personali non sia richiesta dalla legge. Il cliente sosterrà il costo relativo a tale restituzione o cancellazione dei dati. CloudBlue fornisce Assistenza in caso di cessazione durante il Periodo di cessazione successivo consentito ai clienti (a seconda dei casi)
  • Eventuali modifiche relative ai servizi cloud pertinenti verranno comunicate ai clienti tramite e-mail o account manager tecnici
  • CloudBlue rimane responsabile nei confronti dei nostri clienti per l'adempimento degli obblighi del nostro sub-responsabile del trattamento.
  • CloudBlue condividerà gli accordi stipulati con i nostri sub-incaricati, in parte, su richiesta del cliente, ove necessario per dimostrare la conformità.
  • CloudBlue i clienti possono ricevere direttamente una copia dei dati personali da loro forniti, in relazione al servizio erogato, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile
  • Gli utenti autorizzati possono richiederlo tramite il portale clienti CloudBlue eliminare tutti i record dei clienti tramite un'eliminazione del database. CloudBlue cancellerà i dati dei clienti solo su esplicita istruzione dei clienti in conformità con i nostri termini standard CloudBlue restituirà i dati in un formato standard al cliente (titolare del trattamento) su richiesta senza costi aggiuntivi.

Il cliente lo riconosce e lo accetta CloudBlue potrebbe aver bisogno di subappaltare qualsiasi delle sue operazioni di trattamento dei Dati Personali del cliente a sue affiliate o subappaltatori di terze parti ubicati in paesi diversi. A tal fine, accettando i termini e le condizioni del presente DPA e dei presenti Termini, il cliente concede CloudBlue un'autorizzazione generale all'utilizzo di subappaltatori se necessario per garantire l'esecuzione dei Servizi Cloud, CloudBluegli obblighi di cui ai presenti Termini o per garantire il rispetto di obblighi di legge. A scanso di equivoci, CloudBlue subappalta solo le sue operazioni di trattamento ai sensi del presente DPA e dei presenti Termini in conformità con i requisiti delle leggi sulla protezione dei dati applicabili. Su richiesta scritta del cliente, CloudBlue fornirà al cliente un elenco dei subappaltatori coinvolti nel trattamento dei Dati Personali di cui al presente documento. Il cliente lo riconosce e lo accetta CloudBlue potrebbe dover trasferire, divulgare o altrimenti consentire l'accesso ai Dati Personali trattati nell'ambito della fornitura dei Servizi Cloud alle sue affiliate o subappaltatori ubicati in diversi paesi, anche al di fuori dello Spazio Economico Europeo ("SEE") allo scopo di garantire la prestazione dei Servizi Cloud e CloudBluegli obblighi di cui al presente DPA e ai presenti Termini o per garantire il rispetto di un obbligo legale. Accettando i termini e le condizioni del presente DPA e dei presenti Termini, il cliente acconsente a tali trasferimenti di dati. Un elenco dei luoghi di trasferimento dei dati può essere fornito al cliente su richiesta scritta a CloudBlue. A scanso di equivoci, CloudBlue accetta che qualsiasi divulgazione, accesso o trasferimento al di fuori del SEE dei Dati Personali del cliente trattati ai sensi del presente documento sarà effettuato in conformità con le leggi sulla protezione dei dati applicabili.

Il cliente non dovrà provvedere all'elaborazione, al trasferimento o alla concessione dell'accesso CloudBlue qualsiasi Dato Personale a meno che, ove necessario, l'interessato non abbia prestato il proprio consenso al trattamento dei propri Dati Personali ai sensi delle Leggi sulla protezione dei dati. Il cliente riconosce e accetta di avere l'esclusiva responsabilità di fornire le necessarie informazioni di trasparenza e di ottenere tutti i consensi necessari dagli interessati per il trattamento dei Dati Personali ai sensi del presente DPA e delle presenti Condizioni. Il cliente in tal modo garantisce e dichiara che, laddove sia necessaria tale trasparenza delle informazioni e consenso, il cliente ha fornito tali informazioni e ottenuto il consenso dell'interessato e, su richiesta scritta, verranno fornite copie di tali consensi a CloudBlue prima del trasferimento dei Dati Personali per il trattamento.

CloudBlue accetta di sottoporsi a audit o di avere un revisore, ispettore, autorità di regolamentazione e altro rappresentante di terze parti indipendente, designato per iscritto dal cliente per eseguire un audit per conto del cliente al fine di convalidare CloudBluerispetto degli obblighi previsti dal presente DPA, tuttavia tale verifica può essere richiesta solo con un preavviso scritto di trenta (30) giorni lavorativi ed eseguita nei mesi successivi (luglio, agosto e settembre) e solo una volta ogni dodici (12) mesi. Tale revisore, ispettore, autorità di regolamentazione o altro rappresentante di terze parti designato dal cliente sarà soggetto a un accordo di riservatezza fornito a CloudBlue prima dell'audit. CloudBlue fornisce al cliente, ai fini dell'audit e su richiesta scritta, le informazioni ragionevoli necessarie per dimostrarne il rispetto CloudBluegli obblighi di cui al presente DPA, con esclusione di qualsiasi informazione, documento o registrazione relativa ai rapporti commerciali di CloudBlue con terze parti o con i documenti o le registrazioni già verificati dal cliente nei dodici (12) mesi precedenti. Il cliente dovrà effettuare qualsiasi ispezione ad una data concordata, durante il normale orario di lavoro e senza interferire con il corso della CloudBluele operazioni commerciali di. Tutti questi controlli saranno a esclusivo costo e spesa del cliente.

Nonostante qualsiasi disposizione contraria nelle presenti Condizioni, il cliente è tenuto a risarcire e trattenere CloudBlue indenne da ogni responsabilità, perdite, pretese, sanzioni, danni, costi e spese di qualsiasi natura, anche se imposte dall'autorità di vigilanza su CloudBlue e derivanti da qualsiasi reclamo, azione, procedimento o transazione, risultante dalla violazione o dal mancato rispetto da parte del cliente dei termini e delle condizioni del presente DPA, dei presenti Termini e/o delle leggi sulla protezione dei dati applicabili.

Il presente DPA sarà efficace a partire dalla data di esecuzione dei presenti Termini e rimarrà in pieno vigore ed effetto durante il periodo di questi Termini. Il presente DPA cesserà automaticamente con la risoluzione o la scadenza dei Termini.

Informazioni sul trattamento dei dati

A. Le categorie di interessati i cui Dati Personali possono essere trattati ai sensi del presente documento includono, a titolo esemplificativo ma non esaustivo:

  1. dipendenti del cliente che hanno account nella Piattaforma
  2. rivenditori, sub-rivenditori e l'utente finale

B. La tipologia di Dati Personali trattati può comprendere: Nome, Cognome, Indirizzo, E-Mail, Numero di Telefono, ed ogni altra informazione eventualmente richiesta e messa a disposizione di CloudBlue dal Cliente ai fini della fornitura del Servizio.

C. I Dati Personali saranno comunque trattati per le finalità di esecuzione dei Servizi.

D. I Dati Personali saranno trattati durante la durata dei Termini e come previsto dalle Leggi sulla Protezione dei Dati.

E. Il referente di CloudBlue riguardo alla presente Sezione undici (11) è:

Nome: Aaron Mendelsohn Ingram Micro Data Protection Officer

E-mail: privacy@inggrammicro.com.

Come segnalare un problema di sicurezza

Informazioni sulla politica

Fornire un elevato livello di sicurezza del prodotto è una priorità assoluta CloudBlue. Riteniamo che la trasparenza della valutazione della sicurezza aiuterà noi, i team di sicurezza esterni e i nostri clienti a essere sulla stessa lunghezza d'onda quando si tratta di sicurezza in CloudBlue. Siamo pronti a collaborare con chiunque invii segnalazioni di vulnerabilità in buona fede come descritto in questa sezione. Questo è il motivo per cui abbiamo formalizzato il processo per la gestione delle vulnerabilità di sicurezza.

Ricerca

Invitiamo tutti a seguire queste regole durante la ricerca:

  • Rispettare le leggi applicabili e tutti i requisiti di licenza software applicabili.
  • Fai ogni sforzo per evitare violazioni della privacy, interruzioni dei sistemi di produzione, degrado delle prestazioni e perdita di dati durante i test di sicurezza.
  • Utilizzare i canali di comunicazione identificati per segnalarci informazioni sulla vulnerabilità.
  • Mantieni riservate le informazioni su eventuali vulnerabilità che hai scoperto tra te e CloudBlue fino a quando non abbiamo avuto 90 giorni per risolvere il problema.

Criteri di vulnerabilità

L'exploitability è il nostro criterio generale per iniziare a trattare un problema come una vulnerabilità. In altre parole, consideriamo un bug come una vulnerabilità se il bug può avere un impatto sulla riservatezza, integrità o disponibilità del nostro prodotto. In ogni altro caso lo trattiamo come un bug normale e le tempistiche fornite nella sezione Analisi non sono applicabili.

Con il termine "attaccante" si intende un attore malintenzionato che tenta di influenzare negativamente la riservatezza, l'integrità o la disponibilità del nostro prodotto. Partiamo dal presupposto che un utente malintenzionato sia un esperto altamente qualificato con una conoscenza approfondita del nostro prodotto e della sua architettura interna e che le misure di sicurezza che rientrano nel principio della sicurezza attraverso l'oscurità non avranno alcun effetto.

Ogni bug deve essere corretto. Tuttavia, la procedura per correggere un bug è diversa dalla correzione di una vulnerabilità. Nella sezione Esclusioni di seguito, puoi trovare i problemi segnalati più frequentemente che non sono vulnerabilità dal nostro punto di vista e vengono successivamente trattati come bug regolari.

esclusioni

  • Esposizione della traccia dello stack.
  • Esposizione degli indirizzi IP interni.
  • Dichiarazioni che il software è obsoleto o vulnerabile senza codice exploit proof-of-concept.
  • Vulnerabilità che non possono essere utilizzate senza coinvolgere CloudBlue Gli utenti di Commerce, ad esempio, si auto-xss o hanno un utente che incolla il codice JavaScript nella console del browser.
  • Rapporti non convalidati da scanner di vulnerabilità web automatizzati, come Acunetix, Owasp Zap e Burp Suite.
  • Mancata corrispondenza del protocollo.
  • Pannelli di accesso esposti.
  • Cookie flag mancanti sui cookie di non autenticazione.
  • Problemi che interessano solo programmi utente o versioni dell'app obsolete. Consideriamo gli exploit solo nelle ultime versioni del browser per Safari, Mozilla Firefox, Google Chrome, Microsoft Edge e Internet Explorer.
  • Problemi che richiedono l'accesso fisico al computer o al dispositivo della vittima.
  • Divulgazione del percorso.
  • Problemi di acquisizione dei banner: capire quale server Web utilizziamo, quale versione è in uso e così via.
  • Rapporti altamente speculativi sul danno teorico.

Procedura di segnalazione

Report

Per segnalare una vulnerabilità di sicurezza che interessa CloudBlue prodotti, si prega di contattare il CloudBlue Team di sicurezza delle applicazioni. Rispondiamo a tali segnalazioni entro tre giorni lavorativi.

Si prega di segnalare le seguenti informazioni:

  • Una descrizione della vulnerabilità, incluso il codice exploit proof-of-concept o le tracce di rete (se disponibili).
  • Dettagli del prodotto interessato, inclusa la versione del prodotto e il componente interessato.
  • Pubblicità della vulnerabilità o se è già stata divulgata pubblicamente.

Tutti sono incoraggiati a segnalare le vulnerabilità scoperte, indipendentemente dai contratti di servizio o dallo stato del ciclo di vita del prodotto. CloudBlue accoglie con favore le segnalazioni di vulnerabilità di ricercatori, gruppi industriali, CERT, partner e qualsiasi altra fonte come CloudBlue non richiede un accordo di riservatezza come prerequisito per la ricezione delle segnalazioni. CloudBlue rispetta gli interessi della parte segnalante (le segnalazioni possono essere rese anonime su richiesta) e si impegna a gestire qualsiasi vulnerabilità che si possa ragionevolmente ritenere correlata a CloudBlue prodotti nella sezione Ambito. CloudBlue segue le pratiche di divulgazione coordinata delle vulnerabilità (CVD) e per proteggere l'ecosistema chiediamo che coloro che ci segnalano facciano lo stesso.

Per ulteriori informazioni su CVD, fare riferimento al seguente documento: La guida CERT per la divulgazione coordinata delle vulnerabilità.

Analisi

In primo luogo, la CloudBlue Application Security Team indaga e riproduce la vulnerabilità. Se necessario, CloudBlue chiederà maggiori informazioni al giornalista.

Durante questa fase, il CloudBlue Il team di sicurezza dell'applicazione esegue le seguenti azioni:

  • Analizza l'impatto in base ai requisiti di sicurezza esistenti, all'ambito e al contesto della vulnerabilità.
  • Esegue la fase di sfruttamento della vulnerabilità.
  • Calcola la gravità della vulnerabilità utilizzando il punteggio CVSS v3.1.

Sulla base dei risultati, il team di Application Security assegna quindi alla vulnerabilità uno dei seguenti livelli di gravità:

  • Critico: vulnerabilità che non possono essere mitigate dalle soluzioni di sicurezza e richiedono un rilascio di hotfix entro una settimana.
  • Medio: vulnerabilità che possono essere mitigate dalle soluzioni di sicurezza esistenti, ad esempio WAF, ma richiedono un rilascio di hotfix entro tre settimane.
  • Basso: vulnerabilità e problemi che possono essere risolti nella versione più vicina del nostro prodotto. La versione di aggiornamento rapido potrebbe essere rilasciata in più di tre settimane.

Manovrabilità

CloudBlue esegue la gestione interna delle vulnerabilità in collaborazione con i gruppi di sviluppo responsabili. Durante questo periodo, viene mantenuta una comunicazione regolare tra CloudBlue e la parte segnalante per informarsi reciprocamente sullo stato attuale e per garantire che la parte segnalante comprenda CloudBluela posizione. Se disponibile, una correzione software non definitiva può essere fornita alla parte segnalante per la verifica.

Rivelazione

Dopo che il problema è stato analizzato con successo e se è necessaria una correzione, le correzioni corrispondenti verranno sviluppate e preparate per la distribuzione. CloudBlue utilizzerà i processi di notifica del cliente esistenti per gestire il rilascio delle patch, che possono includere la notifica diretta al cliente o il rilascio pubblico di un avviso di sicurezza contenente tutte le informazioni necessarie.

An CloudBlue La nota di avviso sulla sicurezza di solito contiene le seguenti informazioni:

  • La descrizione della vulnerabilità e il relativo punteggio CVSS v.3.1.
  • La descrizione dell'impatto.
  • L'elenco dei prodotti noti interessati e delle versioni software o hardware.
  • Informazioni su fattori attenuanti e soluzioni alternative.
  • La posizione delle correzioni disponibili.

Ambito

  • CloudBlue Piattaforma commerciale
  • CloudBlue Connetti piattaforma

Fuori portata

Ambienti infrastrutturali con componenti relativi alle operazioni del prodotto:

  • Errata configurazione del sistema operativo e vulnerabilità.
  • Eventuali servizi di terze parti o servizi ospitati da fornitori di terze parti.
  • Risultati per applicazioni o sistemi non elencati nella sezione "Ambito".
  • Bug UI e UX ed errori di ortografia.
  • Vulnerabilità Denial of Service (DoS/DDoS) a livello di rete.
  • Risultati di test fisici come l'accesso all'ufficio, ad esempio porte aperte o portellone.
  • I risultati derivano principalmente dall'ingegneria sociale, ad esempio il phishing.

Per proteggere la tua privacy, per favore, non passare mai CloudBlue qualsiasi informazione che potremmo riconoscere come:

  • Informazioni di identificazione personale (PII);
  • Dati del titolare della carta di credito.

Contatto

Se ritieni di aver riscontrato una vulnerabilità di sicurezza in uno dei nostri prodotti, inviaci un'e-mail a sicurezza @cloudblue.com.

Si prega di includere i seguenti dettagli nel rapporto:

  • La descrizione della posizione e il potenziale impatto della vulnerabilità.
  • Una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità. Il codice exploit proof-of-concept, gli screenshot e le acquisizioni di schermate compresse sono tutti utili per noi.
  • Il tuo nome o maniglia e un link per il riconoscimento nella nostra Hall of Fame o una richiesta di anonimato.

Si prega di utilizzare la nostra chiave PGP quando possibile per crittografare il rapporto:

—–INIZIA BLOCCO TASTI PUBBLICI PGP—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAwECHgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —–FINE BLOCCO TASTI PUBBLICI PGP—–

CloudBlue, un'azienda Ingram Micro utilizza i cookie per migliorare l'usabilità del nostro sito. Continuando a utilizzare questo sito e/o effettuando il login accetti l'uso di questi cookie. Per maggiori informazioni, visita il nostro Informativa sulla Privacy.
ACCETTO