CloudBlue doet veel moeite om de veiligheid en betrouwbaarheid van iedereen te waarborgen CloudBlue producten. Om beveiliging in onze Software Development Life Cycle (SDLC) te brengen, volgen we de: Software Assurance Volwassenheidsmodel (SAMM) methodiek. Onze Secure SDLC zorgt ervoor dat beveiligingsactiviteiten zoals penetratietesten, codebeoordeling en architectuuranalyse een integraal onderdeel vormen van de ontwikkelingsinspanningen.

Beveiligingsteam

We hebben een toegewijd team dat verantwoordelijk is voor: CloudBlue producten veiligheid. Vanaf het allereerste begin van de ontwikkeling neemt het beveiligingsteam deel aan ontwerpbeoordelingen om de beveiligingsvereisten naast functionele vereisten te definiëren en om architectuurrisicoanalyses uit te voeren.

Het beveiligingsteam werkt dagelijks samen met ontwikkelaars en is constant op zoek naar eventuele beveiligingsproblemen in de CloudBlue codebasis. Het beveiligingsteam bouwt ook de beveiligingsinfrastructuur voor Secure SDLC. Om de meest voorkomende problemen te detecteren, gebruiken we automatisch scannen dat is geïntegreerd in onze softwareontwikkelingspijplijnen:

  • Elke keer dat nieuwe code naar een repository wordt gepusht, wordt een automatische Static Application Security Testing (SAST)-scan uitgevoerd.
  • Voor de geïmplementeerde exemplaren van CloudBlue producten, wordt een Dynamic Application Security Testing (DAST)-scan uitgevoerd om beveiligingsproblemen tijdens runtime op te sporen.
  • Uitvoering van Software Composition Analysis (SCA) wordt gebruikt om ervoor te zorgen dat we ons product niet met kwetsbare afhankelijkheden verzenden. Het volgt automatisch afhankelijkheden van derden en hun licenties voor elk onderdeel. Elke bekende kwetsbaarheid moet vóór de release worden verholpen.

Bovendien, wanneer een nieuwe functie wordt ontwikkeld, beoordeelt het beveiligingsteam handmatig de broncode en voert het dynamische tests uit met behulp van verschillende industriestandaard tools.

Beveiligingstrainingen

Als onderdeel van de SAMM Education & Guidance-praktijk krijgt elke persoon die deelneemt aan de softwarelevenscyclus instructies over het ontwikkelen en implementeren van veilige software. Onze ontwikkelaars zijn zich bewust van de veelvoorkomende beveiligingsrisico's die worden beschreven in de OWASP Top Ten, en onze R&D-teams ondergaan regelmatig trainingen om beveiligingsonderwerpen te versterken met behulp van commerciële trainingsplatforms, evenals lessen en materialen die intern zijn ontwikkeld. Trainingen worden jaarlijks gegeven en op aanvraag aangevraagd.

We hebben ook een stap voorwaarts gezet door het Security Champions-initiatief over te nemen. Beveiligingskampioenen zijn actieve leden van een team met interesse in beveiliging en de wens om bij te dragen aan de beveiliging van onze producten. Ze fungeren als een ondersteunend element in het beveiligingsproces en hebben de rol van Single Point of Contact (SPOC) binnen hun teams.

Open Web Application Security Project (OWASP)

Opensource is geweldig! Wij zijn van mening dat het gebruik van door de gemeenschap aangestuurde open standaarden en tools een essentieel onderdeel is van veilige softwareontwikkeling, vooral op de lange termijn. Daarom hebben we verschillende OWASP-tools gebruikt, deze onderdeel gemaakt van onze Secure SDLC en van OWASP SAMM de kern van onze Secure SDLC gemaakt. Met behulp van open source willen we:

  • Profiteer van open source door gebruik te maken van community-gedreven standaarden en tools.
  • Draag bij aan open source door te verifiëren dat het past bij bedrijfsoplossingen.

Om het veiligheidsaspect van te maken CloudBlue producten transparanter, we volgen! Standaard voor verificatie van applicatiebeveiliging (ASVS). ASVS is een community-gedreven raamwerk van beveiligingsvereisten en -controles dat zich richt op het definiëren van de functionele en niet-functionele beveiligingscontroles die nodig zijn om moderne webapplicaties en webservices te ontwerpen, ontwikkelen en testen. We beschouwen deze standaard niet als een onveranderlijke bron van waarheid, maar eerder als een startpunt voor een discussie over een beveiligingsonderwerp.

Externe penetratietesten

Wanneer ze naar klanten worden verzonden, worden onze producten een onderdeel van hun infrastructuur, waardoor het potentiële aanvalsoppervlak groter wordt. Dit is de reden waarom onze klanten regelmatig hun eigen beveiligingsteams of externe vragen om penetratietests op onze producten uit te voeren om ervoor te zorgen dat de algehele beveiliging van hun infrastructuur niet wordt aangetast. Rapporten van dergelijke tests geven ons de kans om vanuit het oogpunt van de klant te kijken en hun behoeften en vereisten beter te begrijpen.

Geheimschrift

We nemen een reeks maatregelen om ervoor te zorgen dat de gegevens in onze producten versleuteld zijn.

Willekeurigheid

Alle waarden die willekeurig moeten zijn, zoals willekeurig gegenereerde coderingssleutels en initialisatievectoren, worden gegenereerd met behulp van een cryptografisch veilige pseudo-nummergenerator.

Naast de juiste bron van willekeur wordt de volgende minimale grootte van willekeurige gegevens gebruikt:

DoelMinimale entropie (bits)
cryptografische sleutels128+
IV vector128+
Session ID80+

Symmetrische cryptografie

CloudBlue Commerce gebruikt het Advanced Encryption Standard (AES)-algoritme om gegevens te versleutelen, zoals aanbevolen door het National Institute of Standards and Technology (NIST) voor gebruik op lange termijn voor opslag, en omdat het vaak wordt opgenomen in de nalevingsvereisten van klanten.

We gebruiken de volgende AES-modi:

  • AES in Galois/Counter Mode (GCM) modus
  • AES in Cipher Block Chaining (CBC)-modus met een gehashte berichtauthenticatiecode (HMAC)

CipherDoelOpslag formaat
AES-128-CBC met willekeurige IVBewaar gevoelige gegevens$AES-128-CBC${IV}${Versleutelde gegevens in BASE64}
AES-128-GCM met willekeurige unieke NonceGevoelige gegevens opslaan en verzenden$AES-128-GCM${Nonce}${Versleutelde gegevens in BASE64}
AES-128-CBC-HMAC met willekeurige IVGevoelige gegevens opslaan en verzenden$AES-128-CBC${IV}${Versleutelde gegevens in BASE64}${HMAC BASE64}

Transportbeveiliging

Voor een veilige gegevensoverdracht via het netwerk, CloudBlue Commerce gebruikt TLS 1.2 met de volgende coderingssuites:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

Certificering

We werken voortdurend aan het uitbreiden van de nalevingsdekking. Momenteel zijn we gecertificeerd door ISO27001:2013.

CloudBlue heeft beleid en procedures om naleving van de AVG en de voorwaarden van de AVG-gedragscode van de Cloud Security Alliance aan te tonen door: CloudBlue en onze subverwerkers. Om naleving te tonen, CloudBlue onderstaande bewijsstukken kan overleggen:

  • STAR-zelfbeoordeling beschikbaar op de website van de Cloud Security Alliance
  • Openbare versie van informatiebeveiligingsbeleid en ondersteunend beleid
  • ISO 27001-certificaat (vereist een NDA)
  • Privacyverklaring: https://corp.ingrammicro.com/en-us/legal/privacy

Gegevensprivacy en gegevensbescherming

CloudBlue als wereldwijd opererende organisatie voldoen aan verschillende wet- en regelgeving op het gebied van gegevensbescherming, waaronder de Algemene Verordening Gegevensbescherming (AVG), de California Consumer Privacy Act (CCPA) en de AVG-gedragscode van de Cloud Security Alliance. We nemen de vereiste technische en organisatorische beveiligingsmaatregelen en waarborgen de bescherming van de rechten van de betrokkene.

Door de Services te gebruiken, gaat u ermee akkoord dat we Gegevens mogen gebruiken in overeenstemming met onze Privacyverklaring, beschikbaar hier.

Elke partij erkent en stemt ermee in te voldoen aan de gegevensbeschermings- en privacywetgeving die van toepassing is op hun naleving van deze voorwaarden (“Wetten op gegevensbescherming”), zoals zonder beperking, indien van toepassing, de California Consumer Privacy Act (“CCPA”) en de Europese Algemene verordening gegevensbescherming van de Unie (Verordening (EU) 2016/679) (“AVG”), inclusief bij het gebruiken, behandelen, openbaar maken, overdragen, delen of verwerken op welke manier en voor welk doel dan ook, alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon (“Persoonsgegevens”) ontvangen van of namens de andere partij, voor de duur van de looptijd van deze Voorwaarden. Alle Persoonsgegevens die door de ene partij worden bekendgemaakt en door de andere partij worden verwerkt als onderdeel van deze Voorwaarden, zijn vertrouwelijke informatie van de bekendmakende partij en zijn onderworpen aan de vertrouwelijkheidsverplichtingen zoals uiteengezet in artikel 9 van deze Voorwaarden.

U erkent dat u bepaalde functiefunctionaliteiten van het Platform kunt gebruiken om eindgebruikersinformatie en gegevens te genereren voor de vereiste bedrijfsactiviteiten. Als er gegevens van eindgebruikers worden gevraagd en beschikbaar of toegankelijk worden gemaakt voor u, uw werknemers, agenten of contractanten, zult u alle toepasselijke wetten, voorschriften en overheidsopdrachten volledig naleven, inclusief die met betrekking tot persoonlijke gegevens en/of persoonlijk identificeerbare informatie ( "PII") en gegevensprivacy met betrekking tot dergelijke gegevens die u ontvangt of waartoe u toegang hebt op grond van deze Voorwaarden of in verband met de uitvoering van andere diensten die u of een klant ontvangt. Voor het overige beschermt u PII en zult u dergelijke PII niet gebruiken, openbaar maken of over de grenzen heen overdragen, tenzij met toestemming van de betrokkene of in overeenstemming met de toepasselijke wetgeving. Voor zover u PII ontvangt met betrekking tot de uitvoering van deze Voorwaarden, beschermt u de privacy en wettelijke rechten van dergelijke derden.

Niettegenstaande iets anders in deze Voorwaarden, CloudBlue mag Persoonsgegevens die van of namens u zijn ontvangen kopiëren, wijzigen, distribueren en anderszins gebruiken voor zover nodig voor het leveren van het Platform en de Diensten. U garandeert en verklaart dat u al over alle toestemmingen, toestemmingen en autorisaties die vereist zijn door de toepasselijke wetgeving om Persoonsgegevens te verstrekken of te regelen voor het verstrekken van Persoonsgegevens aan CloudBlue. U verklaart en garandeert dat u over het volledige vermogen en wettelijk recht beschikt om Persoonsgegevens te verstrekken en beschikbaar te stellen aan: CloudBlue zoals bedoeld in deze Voorwaarden. U zult door geen enkele handeling of nalatigheid CloudBlue in strijd met zijn wettelijke verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming en privacy en in verband met deze voorwaarden.

Voor zover de CCPA van toepassing is op de uitvoering van deze Voorwaarden door partijen, omvatten Persoonsgegevens zoals gebruikt in deze Voorwaarden alle “persoonlijke informatie” zoals die term is gedefinieerd in de CCPA. Elke partij erkent en stemt ermee in dat, met betrekking tot het delen van dergelijke Persoonsgegevens met: CloudBlue onder deze voorwaarden, CloudBlue is een “dienstverlener” zoals die term is gedefinieerd in de CCPA. Met betrekking tot Persoonsgegevens bestaande uit “persoonlijke informatie” zoals die term is gedefinieerd in de CCPA, CloudBlue verklaart hierbij dat het begrijpt dat het verboden is om (a) die Persoonsgegevens te verkopen (zoals "verkopen" wordt gedefinieerd in de CCPA), (b) die Persoonsgegevens te bewaren, te gebruiken of openbaar te maken voor enig ander doel dan voor het specifieke doel van het uitvoeren van de Diensten of zoals anderszins toegestaan ​​door de CCPA, inclusief het bewaren, gebruiken of openbaar maken van de Persoonsgegevens voor een ander commercieel doel dan het leveren van de Diensten, en (c) het bewaren, gebruiken of openbaar maken van de Persoonsgegevens buiten haar directe bedrijfsactiviteiten relatie met jou.

CloudBlue gebruikt het Advanced Encryption Standard (AES)-algoritme om gegevens in rust te versleutelen. Alle gegevens op opslagniveau worden standaard versleuteld met AES256. Verkeer wordt tijdens het transport versleuteld met Transport Layer Security 1.2 (TLS) met een industriestandaard AES-256-codering. TLS is een reeks cryptografische protocollen volgens de industriestandaard die worden gebruikt voor het versleutelen van informatie die via het netwerk wordt uitgewisseld.

Beschikbaarheid wordt gegarandeerd door gebruik te maken van onze infrastructuur op de Azure Premium-laag, die hoge beschikbaarheid biedt door regionale redundantie.

AVG en verwerking van persoonsgegevens

Voor doeleinden van verwerking van Persoonsgegevens afkomstig uit de Europese Economische Ruimte, die onderworpen is aan de AVG, CloudBlue stemt ermee in om onder deze clausule 11.2 een gegevensverwerkingsovereenkomst (hierna "DPA") op te nemen, waarvan de voorwaarden een integraal onderdeel vormen van deze voorwaarden en alleen van toepassing zijn indien en voor zover CloudBlue verwerkt Persoonsgegevens als onderdeel van de levering van het Platform en de Diensten (gezamenlijk “Clouddiensten”).

Termen die in deze DPA worden gebruikt, maar hierin niet worden gedefinieerd (indien van toepassing), hebben de betekenis die respectievelijk wordt uiteengezet in deze Voorwaarden, de AVG of de CCPA.

Elke partij erkent en stemt ermee in dat, voor zover Persoonsgegevens onderworpen zijn aan de AVG, de klant de “gegevensbeheerder” is van die Persoonsgegevens die CloudBlue namens haar verwerkt en CloudBlue is de "gegevensverwerker".

Voorzover CloudBlue "processen" (zoals die term is gedefinieerd in de AVG) Persoonsgegevens die onder de AVG vallen namens de klant, CloudBlue zal:

  • Verwerk de door de klant verstrekte Persoonsgegevens alleen in overeenstemming met diens instructies, voor geen andere doeleinden dan die welke door de klant worden bepaald, als dit nodig is om zijn verplichtingen uit hoofde van deze Voorwaarden na te komen en om te voldoen aan een wettelijke verplichting.

Indien echter, op enig moment tijdens de uitvoering van deze DPA en deze Voorwaarden, CloudBlue vaststelt dat de instructies van de klant op enigerlei wijze onwettig lijken of niet in overeenstemming zijn met de toepasselijke wetgeving, CloudBlue zal de klant zonder onnodige vertraging op de hoogte stellen en wachten op verdere instructies.

Neem redelijke maatregelen om de betrouwbaarheid te waarborgen van het personeel dat toegang heeft tot de Persoonsgegevens die worden verwerkt als onderdeel van het uitvoeren van de verplichtingen onder deze Voorwaarden en dat al het personeel aan wie CloudBlue Persoonsgegevens openbaart, wordt erop gewezen dat de Persoonsgegevens vertrouwelijke informatie zijn en onderworpen zijn aan de verplichtingen die zijn uiteengezet in deze DPA en deze Voorwaarden.

  • Rekening houdend met de stand van de techniek, de kosten van uitvoering, de aard, omvang, context en doeleinden van verwerking en de aard van Persoonsgegevens alsmede het risico en de ernst voor de rechten en vrijheden van natuurlijke personen, nemen en bewaren gedurende het uitvoeren van deze DPA passende technische en organisatorische maatregelen tegen ongeoorloofde of onrechtmatige verwerking van die Persoonsgegevens en tegen onopzettelijk verlies of vernietiging van of beschadiging van de Persoonsgegevens. Aanvullende informatie over de beveiligingsmaatregelen die zijn geïmplementeerd door CloudBlue is beschikbaar onder clausule 10 hierboven van deze voorwaarden, en op schriftelijk verzoek aan: CloudBlue. Door deze voorwaarden en deze DPA te accepteren, gaat de klant akkoord met de veiligheidsmaatregelen die zijn genomen en geïmplementeerd door: CloudBlue.
  • De klant zo snel mogelijk op de hoogte stellen van elk verzoek van een betrokkene om zijn recht op toegang, rectificatie, wijziging, beperking van verwerking of verwijdering ("recht om te worden vergeten") uit te oefenen, gegevensoverdraagbaarheid, bezwaar tegen de verwerking van de Persoonsgegevens van die persoon Gegevens of enig ander verzoek van betrokkene, kennisgevingen van derden, inbreuken op persoonlijke gegevens of verlies van persoonlijke gegevens van de klant en assisteren en samenwerken met de klant om de gevolgen daarvan te belemmeren en naleving van de toepasselijke gegevensbeschermingswetten te waarborgen. De klant zal de onredelijke kosten dragen die zijn gemaakt door: CloudBlue met betrekking tot dergelijke hulp en samenwerking.
  • Redelijke hulp bieden aan de klant om hem in staat te stellen te voldoen aan zijn verplichtingen onder de gegevensbeschermingswetten, inclusief, maar niet beperkt tot verzoeken van betrokkenen, voor zover de klant anderszins geen toegang heeft tot de relevante informatie en voor zover dergelijke informatie is beschikbaar voor CloudBlue. CloudBlue zal de klant redelijke bijstand verlenen bij de samenwerking of voorafgaand overleg met de toezichthoudende autoriteit met betrekking tot de uitvoering van haar taken op grond van deze DPA, voor zover vereist op grond van de gegevensbeschermingswetten. De klant draagt ​​de kosten in verband met dergelijke hulp.
  • Na beëindiging van deze Voorwaarden, alle verwerking van de Persoonsgegevens van de klant staken en alle bestanden die de Persoonsgegevens bevatten, verwijderen of, op verzoek van de klant, teruggeven, tenzij het bewaren van de Persoonsgegevens wettelijk verplicht is. De klant draagt ​​de kosten in verband met een dergelijke teruggave of verwijdering van gegevens. CloudBlue biedt Beëindigingshulp tijdens de Toegestane Na Beëindigingsperiode aan klanten (indien van toepassing)
  • Alle wijzigingen met betrekking tot relevante cloudservices worden aan klanten gecommuniceerd via e-mail of technische accountmanagers
  • CloudBlue blijft aansprakelijk jegens onze klanten voor de uitvoering van de verplichtingen van onze subverwerker.
  • CloudBlue zal de gesloten overeenkomsten delen met onze subverwerkers, gedeeltelijk op verzoek van de klant, waar nodig om naleving aan te tonen.
  • CloudBlue klanten kunnen rechtstreeks een kopie ontvangen van de persoonlijke gegevens die ze hebben verstrekt, in verband met hun geleverde dienst, in een gestructureerd, veelgebruikt, machineleesbaar en interoperabel formaat
  • Geautoriseerde gebruikers kunnen via het klantenportaal verzoeken dat: CloudBlue verwijder alle klantrecords via een database delete. CloudBlue verwijdert alleen klantgegevens op uitdrukkelijke instructie van klanten in overeenstemming met onze standaardvoorwaarden CloudBlue zal op verzoek en zonder extra kosten gegevens in een standaardformaat aan de klant (gegevensbeheerder) retourneren.

De klant erkent en gaat ermee akkoord dat: CloudBlue moet mogelijk een van zijn verwerkingsactiviteiten met betrekking tot de persoonlijke gegevens van de klant uitbesteden aan zijn gelieerde ondernemingen of externe onderaannemers in verschillende landen. Voor dit doel verleent de klant, door de algemene voorwaarden in deze DPA en deze voorwaarden te accepteren, hierbij: CloudBlue een algemene machtiging om zo nodig onderaannemers in te zetten om de prestaties van de Cloud Services te garanderen, CloudBlueverplichtingen uit hoofde van deze Voorwaarden of om te zorgen voor naleving van wettelijke verplichtingen. Om twijfel te voorkomen, CloudBlue zal zijn verwerkingsactiviteiten onder deze DPA en deze Voorwaarden alleen uitbesteden in overeenstemming met de vereisten onder de toepasselijke wetgeving inzake gegevensbescherming. Op schriftelijk verzoek van de klant, CloudBlue zal de klant een lijst verstrekken van de onderaannemers die betrokken zijn bij de verwerking van Persoonsgegevens hieronder. De klant erkent en gaat ermee akkoord dat: CloudBlue kan nodig zijn om de Persoonsgegevens die worden verwerkt als onderdeel van de levering van de Cloud Services, over te dragen, bekend te maken of anderszins toegang te verlenen aan haar gelieerde ondernemingen of onderaannemers in verschillende landen, inclusief buiten de Europese Economische Ruimte (“EER”) om ervoor te zorgen dat de prestaties van de Cloud Services en CloudBlueverplichtingen uit hoofde van deze DPA en deze Voorwaarden of om te zorgen voor naleving van een wettelijke verplichting. Door de algemene voorwaarden in deze DPA en deze Voorwaarden te accepteren, gaat de klant akkoord met dergelijke gegevensoverdrachten. Een lijst van de locaties voor gegevensoverdracht kan op schriftelijk verzoek aan de klant worden verstrekt aan: CloudBlue. Om twijfel te voorkomen, CloudBlue gaat ermee akkoord dat elke openbaarmaking, toegang of overdracht buiten de EER van de persoonlijke gegevens van de klant die hieronder worden verwerkt, zal worden uitgevoerd in overeenstemming met de toepasselijke gegevensbeschermingswetten.

De klant zal geen verwerking, overdracht of toegang verlenen tot: CloudBlue alle Persoonsgegevens tenzij, indien nodig, de betrokkene toestemming heeft gegeven voor de verwerking van zijn Persoonsgegevens onder de Wetten inzake gegevensbescherming. De klant erkent en stemt ermee in dat hij als enige verantwoordelijk is voor het verstrekken van de nodige transparantie-informatie en het verkrijgen van alle noodzakelijke toestemmingen van betrokkenen voor de verwerking van Persoonsgegevens onder deze DPA en deze Voorwaarden. De klant garandeert en verklaart daarbij dat waar dergelijke transparantie van informatie en toestemming nodig is, de klant dergelijke informatie heeft verstrekt en de toestemming van de betrokkene heeft verkregen, en op schriftelijk verzoek zullen kopieën van dergelijke toestemmingen worden verstrekt aan CloudBlue voorafgaand aan de overdracht van de Persoonsgegevens voor verwerking.

CloudBlue stemt ermee in zich te onderwerpen aan audits of een onafhankelijke externe auditor, inspecteur, regelgevende instantie en andere vertegenwoordiger te laten aanwijzen die schriftelijk door de klant is aangewezen om namens de klant een audit uit te voeren om te valideren CloudBluenaleving van zijn verplichtingen onder deze DPA, maar een dergelijke audit mag alleen worden aangevraagd met een voorafgaande schriftelijke kennisgeving van dertig (30) werkdagen en uitgevoerd worden tijdens de volgende maanden (juli, augustus en september) en slechts eenmaal per twaalf (12) maanden. Een dergelijke externe auditor, inspecteur, regelgever of andere door de klant aangewezen vertegenwoordiger is onderworpen aan een vertrouwelijkheidsovereenkomst die wordt verstrekt aan: CloudBlue voorafgaand aan de controle. CloudBlue zal de klant, ten behoeve van de audit en op schriftelijk verzoek, redelijke informatie verstrekken die nodig is om naleving aan te tonen: CloudBlueverplichtingen uit hoofde van deze DPA, met uitzondering van alle informatie, documenten of bescheiden met betrekking tot de zakelijke relaties van CloudBlue met een derde partij of de documenten of bescheiden die al door de klant zijn gecontroleerd tijdens de voorgaande twaalf (12) maanden. De klant zal elke inspectie uitvoeren op een wederzijds aanvaardbare datum, tijdens de normale werkuren en zonder het verloop van de CloudBlue's bedrijfsvoering. Al dergelijke audits zijn uitsluitend voor rekening van de klant.

Niettegenstaande enige andersluidende bepaling in deze Voorwaarden, zal de klant schadeloosstellen en CloudBlue vrij van enige aansprakelijkheid, verliezen, claims, boetes, schade, kosten en uitgaven van welke aard dan ook, ook indien opgelegd door de toezichthoudende autoriteit aan CloudBlue en voortvloeiend uit claims, acties, procedures of schikkingen, die het gevolg zijn van de schending of niet-naleving door de klant van de algemene voorwaarden van deze DPA, deze voorwaarden en/of van de toepasselijke wetgeving inzake gegevensbescherming.

Deze DPA is van kracht vanaf de datum van uitvoering van deze Voorwaarden en blijft volledig van kracht gedurende de looptijd van deze Voorwaarden. Deze DPA wordt automatisch beëindigd met de beëindiging of afloop van de Voorwaarden.

Gegevensverwerkingsinformatie

A. Categorieën van betrokkenen wiens Persoonsgegevens hieronder kunnen worden verwerkt, omvatten, maar zijn niet beperkt tot:

  1. medewerkers van de klant die accounts hebben op het Platform
  2. resellers, sub-resellers en de eindgebruiker

B. Het type Persoonsgegevens dat wordt verwerkt, kan zijn: voornaam, achternaam, adres, e-mailadres, telefoonnummer en alle andere informatie die nodig kan zijn en beschikbaar wordt gesteld aan CloudBlue door de klant met het oog op het verlenen van de Dienst.

C. De Persoonsgegevens worden in ieder geval verwerkt ten behoeve van het uitvoeren van de Diensten.

D. Persoonsgegevens worden verwerkt gedurende de looptijd van de Voorwaarden en zoals vereist door de wetgeving inzake gegevensbescherming.

E. De contactpersoon van CloudBlue met betrekking tot dit artikel elf (11) is:

Naam: Aaron Mendelsohn Ingram Micro Data Protection Officer

E-mailadres: privacy@ingrammicro.com.

Een beveiligingsprobleem melden

Over het beleid

Het bieden van een hoog niveau van productbeveiliging is een topprioriteit van: CloudBlue. Wij zijn van mening dat de transparantie van de beveiligingsbeoordeling ons, externe beveiligingsteams en onze klanten zal helpen om op dezelfde golflengte te zitten als het gaat om beveiliging in CloudBlue. We staan ​​klaar om samen te werken met iedereen die te goeder trouw kwetsbaarheidsrapporten indient, zoals beschreven in deze sectie. Daarom hebben we het proces voor het omgaan met beveiligingsproblemen geformaliseerd.

Onderzoek

We dringen er bij iedereen op aan om deze regels te volgen tijdens het onderzoek:

  • Voldoen aan de toepasselijke wetten en alle toepasselijke softwarelicentievereisten.
  • Doe er alles aan om privacyschendingen, verstoring van productiesystemen, prestatievermindering en verlies van gegevens tijdens beveiligingstests te voorkomen.
  • Gebruik de geïdentificeerde communicatiekanalen om kwetsbaarheidsinformatie aan ons te melden.
  • Houd de informatie over eventuele kwetsbaarheden die u hebt ontdekt vertrouwelijk tussen uzelf en CloudBlue totdat we 90 dagen de tijd hebben gehad om het probleem op te lossen.

Kwetsbaarheidscriteria

Exploitabiliteit is onze algemene criteria om een ​​probleem als een kwetsbaarheid te gaan behandelen. Met andere woorden, we beschouwen een bug als een kwetsbaarheid als de bug een impact kan hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van ons product. In alle andere gevallen behandelen we het als een gewone bug en zijn de tijdsbestekken in de sectie Analyse niet van toepassing.

Met de term 'aanvaller' bedoelen we een kwaadwillende actor die probeert de vertrouwelijkheid, integriteit of beschikbaarheid van ons product negatief te beïnvloeden. We gaan ervan uit dat een aanvaller een zeer bekwame expert is met diepgaande kennis van ons product en de interne architectuur, en dat beveiligingsmaatregelen die vallen onder het security-through-obscurity-principe geen effect zullen hebben.

Elke bug moet worden opgelost. De procedure om een ​​bug op te lossen is echter anders dan het oplossen van een kwetsbaarheid. In het gedeelte Uitsluitingen hieronder vindt u de meest gemelde problemen die vanuit ons oogpunt geen kwetsbaarheden zijn en die vervolgens worden behandeld als gewone bugs.

uitsluitingen

  • Blootstelling aan stapelsporen.
  • Interne blootstelling aan IP-adressen.
  • Verklaringen dat software verouderd of kwetsbaar is zonder proof-of-concept exploitcode.
  • Kwetsbaarheden die niet kunnen worden gebruikt zonder te betrekken CloudBlue Commerce-gebruikers, bijvoorbeeld self-xss of een gebruiker JavaScript-code laten plakken in de browserconsole.
  • Niet-gevalideerde rapporten van geautomatiseerde webkwetsbaarheidsscanners, zoals Acunetix, Owasp Zap en Burp Suite.
  • Protocol komt niet overeen.
  • Zichtbare inlogpanelen.
  • Ontbrekende cookievlaggen op niet-authenticatiecookies.
  • Problemen die alleen van invloed zijn op verouderde user agents of app-versies. We beschouwen alleen exploits in de nieuwste browserversies voor Safari, Mozilla Firefox, Google Chrome, Microsoft Edge en Internet Explorer.
  • Problemen die fysieke toegang tot de computer of het apparaat van het slachtoffer vereisen.
  • Weg onthulling.
  • Problemen met het grijpen van banners: uitzoeken welke webserver we gebruiken, welke versie in gebruik is, enzovoort.
  • Zeer speculatieve berichten over theoretische schade.

Rapportageprocedure

Rapport

Een beveiligingsprobleem melden dat van invloed is op: CloudBlue producten, neem dan contact op met de CloudBlue Applicatiebeveiligingsteam. Wij reageren binnen drie werkdagen op dergelijke meldingen.

Geef de volgende informatie door:

  • Een beschrijving van de kwetsbaarheid, inclusief de proof-of-concept exploitcode of netwerksporen (indien beschikbaar).
  • Details van het betreffende product, inclusief de versie van het product en het betreffende onderdeel.
  • Publiciteit van kwetsbaarheid, of dat deze al openbaar is gemaakt.

Iedereen wordt aangemoedigd om ontdekte kwetsbaarheden te melden, ongeacht servicecontracten of productlevenscyclusstatus. CloudBlue verwelkomt kwetsbaarheidsrapporten van onderzoekers, branchegroepen, CERT's, partners en elke andere bron als: CloudBlue vereist geen geheimhoudingsverklaring als voorwaarde voor het ontvangen van meldingen. CloudBlue respecteert de belangen van de rapporterende partij (meldingen kunnen op verzoek anoniem worden gemaakt) en stemt ermee in om elke kwetsbaarheid aan te pakken waarvan redelijkerwijs wordt aangenomen dat deze verband houdt met CloudBlue producten in het gedeelte Bereik. CloudBlue volgt Coordinated Vulnerability Disclosure (CVD)-praktijken en om het ecosysteem te beschermen, verzoeken we degenen die aan ons rapporteren hetzelfde te doen.

Raadpleeg het volgende document voor meer informatie over CVD: De CERT-gids voor gecoördineerde openbaarmaking van kwetsbaarheden.

Analyse

Ten eerste, de CloudBlue Application Security Team onderzoekt en reproduceert de kwetsbaarheid. Indien nodig, CloudBlue zal de verslaggever om meer informatie vragen.

Tijdens deze fase wordt de CloudBlue Het Application Security Team voert de volgende acties uit:

  • Analyseert de impact op basis van de bestaande beveiligingseisen, de reikwijdte en context van de kwetsbaarheid.
  • Voert de exploitatiefase van de kwetsbaarheid uit.
  • Berekent de ernst van de kwetsbaarheid met behulp van de CVSS v3.1-score.

Op basis van de resultaten wijst het Application Security-team vervolgens een van de volgende ernstniveaus toe aan de kwetsbaarheid:

  • Kritiek: kwetsbaarheden die niet kunnen worden verholpen door beveiligingsoplossingen en die binnen een week een hotfix-release vereisen.
  • Gemiddeld: kwetsbaarheden die kunnen worden verholpen door bestaande beveiligingsoplossingen, bijvoorbeeld WAF, maar die binnen drie weken een hotfix-release vereisen.
  • Laag: kwetsbaarheden en problemen die kunnen worden verholpen in de dichtstbijzijnde release van ons product. De hotfix-release kan over meer dan drie weken worden uitgebracht.

Behandeling

CloudBlue voert interne kwetsbaarheidsbehandeling uit in samenwerking met de verantwoordelijke ontwikkelgroepen. Gedurende deze tijd wordt er regelmatig gecommuniceerd tussen: CloudBlue en de melder om elkaar te informeren over de stand van zaken en ervoor te zorgen dat de melder inzicht heeft in CloudBlue's positie. Indien beschikbaar kan een vooraf uitgebrachte softwarefix ter verificatie aan de rapporterende partij worden verstrekt.

openbaring

Nadat het probleem met succes is geanalyseerd en als een fix nodig is, worden de bijbehorende fixes ontwikkeld en voorbereid voor distributie. CloudBlue zal bestaande klantkennisgevingsprocessen gebruiken om de release van patches te beheren, waaronder directe klantkennisgeving of openbare release van een beveiligingsadvies met alle benodigde informatie.

An CloudBlue Beveiligingsadvies bevat meestal de volgende informatie:

  • De beschrijving van de kwetsbaarheid en de CVSS v.3.1-score.
  • De impactbeschrijving.
  • De lijst met bekende getroffen producten en software- of hardwareversies.
  • Informatie over verzachtende factoren en tijdelijke oplossingen.
  • De locatie van beschikbare fixes.

strekking

  • CloudBlue Handelsplatform
  • CloudBlue Connect-platform

Buiten bereik

Infrastructuuromgevingen met componenten gerelateerd aan productbewerkingen:

  • Verkeerde configuratie van het besturingssysteem en kwetsbaarheden.
  • Alle services van derden of services die worden gehost door externe providers.
  • Bevindingen voor toepassingen of systemen die niet worden vermeld in de sectie 'Toepassingsgebied'.
  • UI- en UX-bugs en spelfouten.
  • Denial of Service (DoS/DDoS)-kwetsbaarheden op netwerkniveau.
  • Bevindingen van fysieke tests zoals toegang tot kantoren, bijvoorbeeld open deuren of bumperkleven.
  • Bevindingen voornamelijk afgeleid van social engineering, bijvoorbeeld phishing.

Om uw privacy te beschermen, alstublieft, nooit doorgeven CloudBlue alle informatie die we zouden kunnen herkennen als:

  • Persoonlijk identificeerbare informatie (PII);
  • Gegevens creditcardhouder.

Contactinformatie

Als u denkt een beveiligingsprobleem in een van onze producten te hebben gevonden, stuur ons dan een e-mail naar: veiligheid @cloudblue.com.

Vermeld in uw melding de volgende gegevens:

  • De beschrijving van de locatie en mogelijke impact van de kwetsbaarheid.
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren. Proof-of-concept exploit-code, screenshots en gecomprimeerde schermafbeeldingen zijn allemaal nuttig voor ons.
  • Uw naam of handvat en een link voor herkenning in onze Hall of Fame of een verzoek om anonimiteit.

Gebruik indien mogelijk onze PGP-sleutel om uw melding te versleutelen:

—– BEGIN PGP OPENBAAR SLEUTELBLOK—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAwECHgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —–END PGP OPENBAAR SLEUTELBLOK—–

CloudBlue, maakt een Ingram Micro Business gebruik van cookies om de bruikbaarheid van onze site te verbeteren. Door deze site te blijven gebruiken en/of in te loggen, accepteert u het gebruik van deze cookies. Ga voor meer informatie naar onze Privacy Policy.
IK AANVAARD