CloudBlue すべてのセキュリティと信頼性を確保するために多大な努力を払っています CloudBlue 製品。 セキュリティをソフトウェア開発ライフ サイクル (SDLC) に組み込むために、 ソフトウェア アシュアランス成熟度モデル (SAMM) 方法論。 当社のセキュア SDLC は、侵入テスト、コード レビュー、アーキテクチャ分析などのセキュリティ保証活動が開発作業の不可欠な部分であることを保証します。

セキュリティチーム

担当する専任チームがあります CloudBlue 製品のセキュリティ。 セキュリティ チームは開発の最初からデザイン レビューに参加し、機能要件とともにセキュリティ要件を定義し、アーキテクチャ リスク分析を実行します。

セキュリティ チームは、開発者と日常的に協力し、常にセキュリティの問題を探しています。 CloudBlue コードベース。 セキュリティ チームは、Secure SDLC のセキュリティ インフラストラクチャも構築します。 最も一般的な問題を検出するために、ソフトウェア開発パイプラインに統合された自動スキャンを使用します。

  • 新しいコードがリポジトリにプッシュされるたびに、自動静的アプリケーション セキュリティ テスト (SAST) スキャンが実行されます。
  • デプロイされたインスタンスの場合 CloudBlue 製品では、Dynamic Application Security Testing (DAST) スキャンが実行され、実行時にセキュリティの問題が検出されます。
  • ソフトウェア構成分析 (SCA) の実行は、脆弱な依存関係を持つ製品を出荷しないようにするために使用されます。 すべてのコンポーネントについて、サードパーティの依存関係とそのライセンスを自動的に追跡します。 既知のすべての脆弱性は、リリース前に修正する必要があります。

さらに、新機能が開発されると、セキュリティ チームはそのソース コードを手動でレビューし、さまざまな業界標準ツールを使用して動的テストを実行します。

セキュリティトレーニング

SAMM Education & Guidance プラクティスの一環として、ソフトウェア ライフ サイクルに参加するすべての人は、安全なソフトウェアを開発および展開する方法について指示されます。 当社の開発者は、OWASP Top Ten で説明されている一般的なセキュリティ リスクを認識しており、当社の R&D チームは、商用トレーニング プラットフォームや社内で開発されたクラスや資料を使用して、セキュリティ トピックを強化するための定期的なトレーニングを受けています。 トレーニングは毎年実施され、要求に応じて要求されます。

また、Security Champions イニシアチブを採用することで一歩前進しました。 セキュリティ チャンピオンは、セキュリティに関心があり、製品のセキュリティに貢献したいという願望を持つ、チームのアクティブなメンバーです。 彼らは、セキュリティ保証プロセスのサポート要素として機能し、チーム内で単一窓口 (SPOC) の役割を果たします。

オープンWebアプリケーションセキュリティプロジェクト(OWASP)

オープンソースは素晴らしい! コミュニティ主導のオープン スタンダードとツールの使用は、特に長期的には、安全なソフトウェア開発の不可欠な部分であると考えています。 そのため、いくつかの OWASP ツールを採用し、それらを Secure SDLC の一部とし、OWASP SAMM を Secure SDLC の中核にしました。 オープンソースを使用して、私たちは次のことを目指しています。

  • コミュニティ主導の標準とツールを使用して、オープン ソースを活用します。
  • エンタープライズ ソリューションに適合することを検証することで、オープン ソースに貢献します。

のセキュリティ面を作るために CloudBlue 製品の透明性を高めます。 アプリケーション セキュリティ検証基準 (ASVS)。 ASVS は、最新の Web アプリケーションと Web サービスの設計、開発、およびテストに必要な機能的および非機能的なセキュリティ制御の定義に焦点を当てた、セキュリティ要件と制御のコミュニティ主導のフレームワークです。 私たちはこの標準を不変の真実の情報源として扱うのではなく、セキュリティ トピックに関する議論の出発点として扱います。

外部侵入テスト

お客様に出荷されると、当社の製品はインフラストラクチャの一部になり、潜在的な攻撃対象領域が増加します。 これが、インフラストラクチャの全体的なセキュリティが影響を受けていないことを確認するために、お客様が自社のセキュリティ チームまたは外部のセキュリティ チームに、当社製品の侵入テストを実行するよう定期的に要求する理由です。 このようなテストのレポートは、お客様の視点から見て、お客様のニーズと要件をよりよく理解する機会を与えてくれます。

暗号学

製品内のデータが確実に暗号化されるように、一連の対策を講じています。

ランダムネス

ランダムに生成された暗号化キーや初期化ベクトルなど、ランダムである必要があるすべての値は、暗号的に安全な疑似番号ジェネレーターを使用して生成されます。

ランダム性の適切なソースに加えて、ランダム データの次の最小サイズが使用されます。

目的 最小エントロピー (ビット)
暗号化キー128+
IVベクター128+
セッションID80+

対称暗号

CloudBlue Commerce は、Advanced Encryption Standard (AES) アルゴリズムを使用してデータを暗号化します。これは、米国国立標準技術研究所 (NIST) が長期保存用に推奨しているためであり、多くの場合、顧客のコンプライアンス要件の一部として含まれているためです。

次の AES モードを使用します。

  • ガロア/カウンター モード (GCM) モードの AES
  • ハッシュ メッセージ認証コード (HMAC) を使用した暗号ブロック チェーン (CBC) モードの AES

暗号目的 ストレージ形式
ランダム IV の AES-128-CBC機密データを保存する$AES-128-CBC${IV}${BASE64 の暗号化データ}
AES-128-GCM とランダムで一意のノンス機密データの保存と送信$AES-128-GCM${Nonce}${BASE64 の暗号化データ}
ランダム IV を使用した AES-128-CBC-HMAC機密データの保存と送信$AES-128-CBC${IV}${BASE64 の暗号化データ}${HMAC BASE64}

輸送セキュリティ

ネットワーク経由で安全なデータ転送を提供するには、 CloudBlue Commerce は、次の暗号スイートで TLS 1.2 を使用します。

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

認証

当社は、コンプライアンス範囲の拡大に常に取り組んでいます。 現在、ISO27001:2013の認証を取得しています。

CloudBlue GDPR への準拠とクラウド セキュリティ アライアンス GDPR 行動規範の条件を実証するためのポリシーと手順を用意しています。 CloudBlue および当社のサブプロセッサー。 コンプライアンスを示すために、 CloudBlue 以下の証拠を提供することができます。

  • クラウド セキュリティ アライアンスの Web サイトで利用可能な STAR 自己評価
  • 情報セキュリティ ポリシーおよびサポート ポリシーの公開版
  • ISO 27001 証明書 (NDA が必要)
  • プライバシーに関する声明: https://corp.ingrammicro.com/en-us/legal/privacy

データのプライバシーとデータ保護

CloudBlue グローバルに運営されている組織として、一般データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、クラウド セキュリティ アライアンス GDPR 行動規範など、さまざまなデータ プライバシー法および規制に準拠しています。 必要な技術的および組織的なセキュリティ対策を組み込み、データ主体の権利の保護を保護します。

本サービスを使用することにより、お客様は、当社がプライバシーに関する声明に従ってデータを使用することに同意するものとします。 詳細を見る.

各当事者は、本規約の履行に適用されるデータ保護およびプライバシーに関する法律 (「データ保護法」) を認め、遵守することに同意するものとします。連合一般データ保護規則 (規則 (EU) 2016/679) (「GDPR」) には、識別された、または識別可能な情報に関連する情報を、方法や目的を問わず、使用、処理、開示、転送、共有、または処理する場合が含まれます。本規約の期間中、相手方から、または相手方に代わって受け取った個人 (「個人データ」)。 一方の当事者が本規約の一部として開示し、他方の当事者が処理するすべての個人データは、開示当事者の機密情報であり、本規約の第 9 条に定める守秘義務の対象となります。

お客様は、プラットフォームの特定の機能を利用して、必要な事業運営のためにエンド ユーザーの情報とデータを生成できることを認めます。 エンドユーザー データが要求され、お客様、お客様の従業員、代理店、または請負業者が利用可能またはアクセスできるようにする場合、お客様は、個人データおよび/または個人を特定できる情報に関連するものを含む、適用されるすべての法律、規制、および政府命令を完全に遵守するものとします ( 「PII」) およびお客様が本規約に基づいて、またはお客様または顧客が受け取るその他のサービスのパフォーマンスに関連して受け取る、またはアクセスできるデータに関するデータ プライバシー。 それ以外の場合、お客様は PII を保護し、データ主体によって許可されている場合、または適用法に従っている場合を除き、そのような PII を使用、開示、または国境を越えて転送しないものとします。 お客様は、本規約の履行に関連する PII を受け取る限り、そのような第三者のプライバシーおよび法的権利を保護するものとします。

本規約に矛盾する規定があるにもかかわらず、 CloudBlue は、プラットフォームおよびサービスを提供する目的で必要な範囲で、お客様から、またはお客様に代わって受け取った個人データをコピー、変更、配布、およびその他の方法で使用することができます。 お客様は、個人データを提供するため、または提供を手配するために、適用される法律によって要求されるすべての許可、同意、および権限を、必要に応じて取得し、有効に維持することを保証し、表明します。 CloudBlue. あなたは、個人データを提供し、利用可能にする完全な能力と法的権利を持っていることを表明し、保証します。 CloudBlue これらの条件で企図されているとおり。 あなたは、いかなる作為または不作為によっても CloudBlue 適用されるデータ保護およびプライバシー法の下での法的義務に違反し、本規約に関連して。

CCPA が両当事者の本規約の履行に適用される範囲において、本規約で使用される個人データには、CCPA で定義されている用語のすべての「個人情報」が含まれます。 各当事者は、かかる個人データの共有に関して、次のことを認め、同意するものとします。 CloudBlue 本規約に基づき、 CloudBlue その用語はCCPAで定義されているため、「サービスプロバイダー」です。 CCPAで定義されている「個人情報」からなる個人データに関しては、 CloudBlue (a) その個人データの販売 (CCPA で定義されている「販売」)、(b) 特定の目的以外の目的でのその個人データの保持、使用、または開示が禁止されていることを理解していることをここに証明します。これには、サービスの提供以外の商業目的で個人データを保持、使用、または開示すること、および (c) 直接のビジネス以外で個人データを保持、使用、または開示することが含まれます。あなたとの関係。

CloudBlue Advanced Encryption Standard (AES) アルゴリズムを使用して保存データを暗号化します。 ストレージ レベルのすべてのデータは、デフォルトで AES256 で暗号化されます。 転送中のトラフィックは、業界標準の AES-1.2 暗号を使用する Transport Layer Security 256 (TLS) を使用して暗号化されます。 TLS は、ネットワーク上で交換される情報の暗号化に使用される一連の業界標準の暗号化プロトコルです。

可用性は、リージョンの冗長性によって高可用性を提供する Azure Premium レベルでインフラストラクチャを活用することによって保証されます。

GDPR と個人データ処理

GDPR の対象となる、欧州経済領域に由来する個人データを処理する目的で、 CloudBlue は、本条項 11.2 に基づいてデータ処理契約 (以下「DPA」) を組み込むことに同意します。この契約の条件は、本条件の不可欠な部分であり、次の場合にのみ適用されます。 CloudBlue は、プラットフォームおよびサービス (総称して「クラウド サービス」) の提供の一環として個人データを処理しています。

この DPA で使用されているが、ここで定義されていない用語 (存在する場合) は、それぞれ該当する場合、本規約、GDPR または CCPA に規定された意味を持ちます。

各当事者は、個人データが GDPR の対象となる範囲で、顧客がその個人データの「データ管理者」であることを認め、同意します。 CloudBlue その代わりにプロセスを処理し、 CloudBlue 「データ処理者」です。

その程度まで CloudBlue 「プロセス」 (用語は GDPR で定義されているとおり) 顧客に代わって GDPR の対象となる個人データ、 CloudBlue しなければならない:

  • 顧客から提供された個人データは、顧客の指示に従ってのみ処理し、顧客が決定した以外の目的ではなく、本規約に基づいて定められた義務を履行し、法的義務を遵守するために必要です。

ただし、本 DPA および本条件の実行中にいつでも、 CloudBlue 顧客の指示が何らかの方法で違法であるか、適用される法律に準拠していないように見えることを証明します。 CloudBlue 遅滞なく顧客に通知し、さらなる指示を待つものとします。

本規約に基づく義務の履行の一環として処理された個人データにアクセスできるスタッフの信頼性を確保するための合理的な措置を講じます。 CloudBlue 個人データを開示することは、個人データが機密情報であり、本 DPA および本規約に定められた義務に従うことを認識させるものです。

  • 最新技術、実装のコスト、処理の性質、範囲、文脈、目的、および個人データの性質、ならびに自然人の権利と自由に対するリスクと重大性を考慮して、この DPA の実行、その個人データの無許可または違法な処理、および個人データの偶発的な損失、破壊、または損害に対する適切な技術的および組織的対策。 によって実装されたセキュリティ対策に関する追加情報 CloudBlue 上記の本規約の第 10 条に基づき、書面による要請があれば利用できます。 CloudBlue. 本規約および本 DPA に同意することにより、顧客は、によって講じられ、実施されるセキュリティ対策に同意するものとします。 CloudBlue.
  • データ主体からのアクセス、修正、修正、処理または削除の制限 (「忘れられる権利」)、データの移植性、その人の個人情報の処理に対する異議の権利を行使する要求があった場合は、できるだけ早く顧客に通知します。データまたはその他のデータ主体の要求、第三者の通知、個人データの侵害または顧客の個人データの損失、およびそれらの結果を妨げ、適用されるデータ保護法の遵守を確保するために、顧客を支援および協力します。 お客様は、以下によって発生した不当な費用を負担します。 CloudBlue かかる援助および協力に関するもの。
  • 顧客がデータ主体の要求を含むがこれに限定されないデータ保護法に基づく義務を遵守できるように、顧客が関連情報にアクセスできない範囲で合理的な支援を提供します。情報が利用可能です CloudBlue. CloudBlue は、データ保護法の下で要求される範囲で、本 DPA に基づく業務の遂行に関連して、監督当局との協力または事前の協議において、顧客に合理的な支援を提供するものとします。 お客様は、かかる支援にかかる費用を負担します。
  • 本規約の終了に伴い、顧客の個人データのすべての処理を中止し、顧客の要求に応じて、個人データの保持が法律で義務付けられている場合を除き、個人データを含むすべてのファイルを削除または返却するものとします。 お客様は、かかるデータの返却または削除に関連する費用を負担します。 CloudBlue 許可された投稿終了期間中に顧客に終了支援を提供します(該当する場合)
  • 関連するクラウド サービスに関する変更は、電子メールまたはテクニカル アカウント マネージャーを通じてクライアントに通知されます。
  • CloudBlue サブプロセッサーの義務の履行については、引き続きお客様に責任を負います。
  • CloudBlue は、コンプライアンスを実証するために必要な場合、顧客の要求に応じて、サブプロセッサとの間で締結された契約を部分的に共有します。
  • CloudBlue 顧客は、提供されたサービスに関連して、提供した個人データのコピーを、構造化され、一般的に使用され、機械で読み取り可能で相互運用可能な形式で直接受け取ることができます
  • 許可されたユーザーは、カスタマー ポータルからリクエストできます。 CloudBlue データベースの削除を介してすべての顧客レコードを削除します。 CloudBlue 当社の標準条件に従って、顧客からの明示的な指示がある場合にのみ、顧客データを削除します CloudBlue は、要求に応じて追加料金なしで標準形式のデータを顧客 (データ管理者) に返します。

お客様は、次のことを認め、同意します。 CloudBlue お客様の個人データに関する処理業務を、異なる国にある関連会社または第三者の下請け業者に下請けする必要がある場合があります。 この目的のために、本 DPA および本条件の条件に同意することにより、顧客はこれにより以下を許可します。 CloudBlue クラウド サービスのパフォーマンスを確保するために、必要に応じて下請け業者を使用するための一般的な承認、 CloudBlue本規約に基づく の義務、または法的義務の遵守を確保するため。 誤解を避けるために、 CloudBlue は、適用されるデータ保護法に基づく要件に従って、本 DPA および本規約に基づく処理業務のみを下請けするものとします。 お客様からの書面によるご要望により、 CloudBlue は、本契約に基づく個人データの処理に関与する下請け業者のリストを顧客に提供するものとします。 お客様は、次のことを認め、同意します。 CloudBlue クラウド サービスの提供の一環として処理された個人データへのアクセスを、欧州経済地域 (「EEA」) 外を含むさまざまな国にある関連会社または下請け業者に転送、開示、またはその他の方法で許可する必要がある場合があります。クラウド サービスのパフォーマンスと CloudBlue本 DPA および本規約に基づく の義務、または法的義務の遵守を確保するため。 この DPA および本規約の条件に同意することにより、顧客はそのようなデータの転送に同意したことになります。 書面による要求に応じて、データ転送場所のリストを顧客に提供できます。 CloudBlue. 誤解を避けるために、 CloudBlue は、本契約に基づいて処理されるお客様の個人データの EEA 外への開示、アクセス、または転送が、適用されるデータ保護法に従って行われることに同意します。

顧客は、データの処理、転送、またはアクセスの許可を提供してはなりません。 CloudBlue 必要に応じて、データ主体がデータ保護法に基づく個人データの処理に同意した場合を除き、個人データ。 お客様は、本 DPA および本規約に基づく個人データの処理について、必要な透明性情報を提供し、データ主体から必要なすべての同意を得る責任を単独で負うことを認め、同意するものとします。 これにより、顧客は、そのような情報の透明性と同意が必要な場合、顧客がそのような情報を提供し、データ主体の同意を得たことを保証し、表明し、書面による要求に応じて、そのような同意のコピーを CloudBlue 処理のために個人データを転送する前。

CloudBlue 監査に提出するか、検証のために顧客に代わって監査を実行するために顧客によって書面で指定された独立した第三者の監査人、検査官、規制当局、およびその他の代表者を持つことに同意する CloudBlueただし、このような監査は、30 営業日前に書面で通知することによってのみ要求され、翌月 (12 月、XNUMX 月、および XNUMX 月) に XNUMX か月に XNUMX 回のみ実行されます。月。 このような第三者の監査人、検査官、規制当局、またはお客様が指定するその他の代表者は、お客様に提供される秘密保持契約に従うものとします。 CloudBlue 監査の前に。 CloudBlue 監査の目的で、書面による要求に応じて、コンプライアンスを実証するために必要な合理的な情報を顧客に提供するものとします。 CloudBlueのビジネス関係に関連する情報、文書、または記録を除く、この DPA に基づく の義務 CloudBlue 第三者、または過去 12 か月間に顧客がすでに監査した文書または記録。 顧客は、相互に合意した日付で、通常の勤務時間内に、業務の進行を妨げることなく検査を実施するものとします。 CloudBlueの事業運営。 このような監査はすべて、顧客の単独の費用負担で行うものとします。

本規約にこれと矛盾する規定があっても、お客様は補償し、保持するものとします。 CloudBlue いかなる性質の責任、損失、請求、罰則、損害、費用、および出費についても責任を負わないものとします。 CloudBlue 本 DPA の条件、本条件、および/または適用されるデータ保護法に対する顧客の違反または不遵守に起因する、請求、訴訟、手続き、または和解から生じるもの。

この DPA は、本規約の実行日から有効となり、本規約の期間中は完全に効力を持ち続けます。 この DPA は、本条件の終了または満了により自動的に終了します。

データ処理情報

A. 個人データが処理される可能性のあるデータ主体のカテゴリには、以下が含まれますが、これらに限定されません。

  1. プラットフォームにアカウントを持つ顧客の従業員
  2. 再販業者、再販業者、およびエンド ユーザー

B. 処理される個人データの種類には、名、姓、住所、電子メール、電話番号、および必要とされて利用可能になる可能性のあるその他の情報が含まれる場合があります。 CloudBlue サービスを提供する目的で、顧客によって。

C. 個人データは、いずれの場合も、サービスを実行する目的で処理されます。

D. 個人データは、本規約の期間中、およびデータ保護法の要求に従って処理されます。

E. の連絡担当者 CloudBlue この第 11 条 (XNUMX) については、次のとおりです。

氏名: Aaron Mendelsohn Ingram マイクロ データ保護責任者

電子メールアドレス: privacy@ingrammicro.com.

セキュリティ上の懸念を報告する方法

ポリシーについて

高レベルの製品セキュリティを提供することは、当社の最優先事項です。 CloudBlue. セキュリティ評価の透明性は、セキュリティに関して、私たち、外部のセキュリティ チーム、およびお客様が同じ波長を保つのに役立つと信じています。 CloudBlue. このセクションで説明されているように、誠意を持って脆弱性レポートを送信してくださった方と協力する準備ができています。 これが、セキュリティの脆弱性を処理するためのプロセスを形式化した理由です。

研究

調査中は、次の規則に従うことをお勧めします。

  • 適用される法律および適用されるすべてのソフトウェア ライセンス要件を遵守します。
  • セキュリティ テスト中のプライバシー侵害、本番システムの中断、パフォーマンスの低下、およびデータの損失を回避するためにあらゆる努力を払ってください。
  • 特定された通信チャネルを使用して、脆弱性情報を当社に報告してください。
  • あなたが発見した脆弱性に関する情報は、あなた自身と CloudBlue 問題を解決するために 90 日が経過するまで。

脆弱性の基準

悪用可能性は、問題を脆弱性として扱い始めるための一般的な基準です。 つまり、バグが製品の機密性、完全性、または可用性に影響を与える可能性がある場合、バグを脆弱性と見なします。 それ以外の場合は通常のバグとして扱い、分析セクションに記載されている期間は適用されません。

「攻撃者」という用語は、製品の機密性、完全性、または可用性に悪影響を与えようとする悪意のあるアクターを意味します。 攻撃者は、当社の製品とその内部アーキテクチャに関する深い知識を持つ高度なスキルを持つ専門家であり、あいまいさによるセキュリティの原則に該当するセキュリティ対策は効果がないと想定しています。

すべてのバグを修正する必要があります。 ただし、バグを修正する手順は、脆弱性を修正する手順とは異なります。 以下の除外セクションでは、最も頻繁に報告される問題のうち、脆弱性ではなく、通常のバグとして扱われる問題を見つけることができます。

除外

  • スタック トレースの露出。
  • 内部 IP アドレスの公開。
  • 概念実証の悪用コードがなくても、ソフトウェアが古くなっている、または脆弱であるという記述。
  • 関与しないと利用できない脆弱性 CloudBlue Commerce ユーザー (セルフ xss や、ユーザーに JavaScript コードをブラウザー コンソールに貼り付けるなど)。
  • Acunetix、Owasp Zap、Burp Suite などの自動化された Web 脆弱性スキャナーからの未検証のレポート。
  • プロトコルの不一致。
  • 公開されたログイン パネル。
  • 非認証 Cookie に Cookie フラグがありません。
  • 古いユーザー エージェントまたはアプリのバージョンのみに影響する問題。 Safari、Mozilla Firefox、Google Chrome、Microsoft Edge、および Internet Explorer の最新のブラウザー バージョンでのエクスプロイトのみを考慮します。
  • 被害者のコンピューターまたはデバイスへの物理的なアクセスを必要とする問題。
  • パス開示。
  • バナー取得の問題: 使用している Web サーバー、使用中のバージョンなどを把握します。
  • 理論上の損傷に関する非常に推測的なレポート。

報告手順

レポート

影響を与えるセキュリティの脆弱性を報告するには CloudBlue 製品、お問い合わせください CloudBlue アプリケーション セキュリティ チーム。 そのような報告には、XNUMX 営業日以内に対応します。

次の情報を報告してください。

  • 概念実証のエクスプロイト コードまたはネットワーク トレース (利用可能な場合) を含む、脆弱性の説明。
  • 製品のバージョンおよび影響を受けるコンポーネントを含む、影響を受ける製品の詳細。
  • 脆弱性の公開、またはすでに公開されているかどうか。

サービス契約や製品ライフサイクルのステータスに関係なく、発見された脆弱性を報告することを全員に奨励します。 CloudBlue 研究者、業界団体、CERT、パートナー、およびその他の情報源からの脆弱性レポートを歓迎します。 CloudBlue 報告を受けるための前提条件として、機密保持契約を必要としません。 CloudBlue 報告当事者の利益を尊重し (報告は要求に応じて匿名にすることができます)、関連すると合理的に考えられる脆弱性を処理することに同意します。 CloudBlue 範囲セクションの製品。 CloudBlue Coordinated Vulnerability Disclosure (CVD) 慣行に従っており、エコシステムを保護するために、報告者にも同様のことをお願いしています。

CVD の詳細については、次のドキュメントを参照してください。 調整された脆弱性開示に関する CERT ガイド.

分析

まず、 CloudBlue アプリケーション セキュリティ チームが脆弱性を調査し、再現します。 必要に応じて、 CloudBlue レポーターにさらに情報を要求します。

この段階では、 CloudBlue アプリケーション セキュリティ チームは、次のアクションを実行します。

  • 既存のセキュリティ要件、スコープ、および脆弱性のコンテキストに基づいて影響を分析します。
  • 脆弱性の悪用段階を実行します。
  • CVSS v3.1 スコアを使用して脆弱性の重大度を計算します。

結果に基づいて、アプリケーション セキュリティ チームは次の重大度レベルのいずれかを脆弱性に割り当てます。

  • Critical: セキュリティ ソリューションでは軽減できず、XNUMX 週間以内に修正プログラムをリリースする必要がある脆弱性。
  • 中: WAF などの既存のセキュリティ ソリューションで緩和できる脆弱性ですが、XNUMX 週間以内に修正プログラムをリリースする必要があります。
  • 低: 製品の最新のリリースで対処される可能性のある脆弱性と問題。 ホットフィックスのリリースは、XNUMX 週間以上かかる場合があります。

ハンドリング

CloudBlue 担当の開発グループと協力して内部の脆弱性処理を実行します。 この間、定期的な通信が維持されます。 CloudBlue と報告者は、現在の状況について互いに通知し、報告者が確実に理解できるようにする CloudBlueの位置。 利用可能な場合は、事前にリリースされたソフトウェア修正が報告者に提供され、検証が行われる場合があります。

開示

問題が正常に分析され、修正が必要な場合は、対応する修正が開発され、配布用に準備されます。 CloudBlue 既存の顧客通知プロセスを使用して、パッチのリリースを管理します。これには、顧客への直接通知または必要なすべての情報を含むセキュリティ アドバイザリの公開リリースが含まれる場合があります。

An CloudBlue 通常、セキュリティ アドバイザリ ノートには次の情報が含まれています。

  • 脆弱性の説明とその CVSS v.3.1 スコア。
  • インパクトの説明。
  • 既知の影響を受ける製品とソフトウェアまたはハードウェアのバージョンのリスト。
  • 問題を緩和する要素と回避策に関する情報。
  • 利用可能な修正の場所。

範囲

  • CloudBlue コマースプラットフォーム
  • CloudBlue コネクト プラットフォーム

範囲外

製品操作に関連するコンポーネントを含むインフラストラクチャ環境:

  • オペレーティング システムの構成ミスと脆弱性。
  • サードパーティのサービスまたはサードパーティのプロバイダーがホストするサービス。
  • 「範囲」セクションに記載されていないアプリケーションまたはシステムの調査結果。
  • UI と UX のバグとスペルミス。
  • ネットワーク レベルのサービス拒否 (DoS/DDoS) の脆弱性。
  • ドアの開閉やテールゲートなど、オフィスへのアクセスなどの物理的なテストから得られた結果。
  • 主にソーシャル エンジニアリング (フィッシングなど) から得られた調査結果。

プライバシー保護のため、絶対に通り過ぎないでください CloudBlue 以下のように認識できる情報:

  • 個人を特定できる情報 (PII);
  • クレジットカード会員データ。

連絡先

当社の製品のいずれかにセキュリティの脆弱性を発見したと思われる場合は、電子メールでご連絡ください。 安全 @cloudblue.COM.

レポートには次の詳細を含めてください。

  • 脆弱性の場所と潜在的な影響の説明。
  • 脆弱性を再現するために必要な手順の詳細な説明。 概念実証のエクスプロイト コード、スクリーンショット、および圧縮されたスクリーン キャプチャはすべて私たちにとって役に立ちます。
  • あなたの名前またはハンドル名、および殿堂入りの承認のためのリンク、または匿名のリクエスト。

レポートを暗号化するには、可能な場合は PGP キーを使用してください。

-PGPパブリックキーブロックの開始-
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUanxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwiGFQoJCASC
 BBYCAWECHgECF4AACgkQJSUANXXDHuanagf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 -PGPパブリックキーブロックを終了-

CloudBlue、Ingram Micro Business は Cookie を使用して、サイトの使いやすさを向上させます。 このサイトの使用および/またはログインを継続することにより、これらの Cookie の使用に同意したことになります。 詳細については、当社のウェブサイトをご覧ください 個人情報保護方針
承諾します