CloudBlue прилагает огромные усилия для обеспечения безопасности и надежности всех CloudBlue товары. Чтобы обеспечить безопасность в нашем жизненном цикле разработки программного обеспечения (SDLC), мы следуем Модель зрелости Software Assurance (SAMM) методология. Наш безопасный SDLC гарантирует, что действия по обеспечению безопасности, такие как тестирование на проникновение, проверка кода и анализ архитектуры, являются неотъемлемой частью усилий по разработке.

Служба безопасности

У нас есть специальная команда, отвечающая за CloudBlue безопасность продукции. С самого начала разработки команда безопасности участвует в анализе проекта, чтобы определить требования безопасности наряду с функциональными требованиями и выполнить анализ рисков архитектуры.

Команда безопасности ежедневно сотрудничает с разработчиками и постоянно ищет любые проблемы безопасности в CloudBlue кодовая база. Группа безопасности также создает инфраструктуру безопасности для Secure SDLC. Для обнаружения наиболее распространенных проблем мы используем автоматическое сканирование, встроенное в наши конвейеры разработки программного обеспечения:

  • Каждый раз, когда новый код помещается в репозиторий, выполняется автоматическое сканирование Static Application Security Testing (SAST).
  • Для развернутых экземпляров CloudBlue продуктов выполняется сканирование Dynamic Application Security Testing (DAST) для выявления проблем безопасности во время выполнения.
  • Выполнение анализа состава программного обеспечения (SCA) используется, чтобы убедиться, что мы не поставляем наш продукт с уязвимыми зависимостями. Он автоматически отслеживает сторонние зависимости и их лицензии для каждого компонента. Каждая известная уязвимость должна быть исправлена ​​до выпуска.

Кроме того, при разработке новой функции группа безопасности вручную просматривает ее исходный код и выполняет динамическое тестирование с использованием различных стандартных инструментов.

Тренинги по безопасности

В рамках практики SAMM Education & Guidance каждый человек, участвующий в жизненном цикле программного обеспечения, получает инструкции о том, как разрабатывать и развертывать безопасное программное обеспечение. Наши разработчики осведомлены об общих рисках безопасности, описанных в OWASP Top Ten, а наши команды по исследованиям и разработкам регулярно проходят обучение, чтобы закрепить темы безопасности, используя коммерческие обучающие платформы, а также занятия и материалы, разработанные внутри компании. Обучение проводится ежегодно и запрашивается по запросу.

Мы также сделали шаг вперед, приняв инициативу «Чемпионы безопасности». Чемпионы по безопасности являются активными членами команды, заинтересованной в безопасности и желающей внести свой вклад в безопасность нашего продукта. Они выступают в качестве вспомогательного элемента в процессе обеспечения безопасности и играют роль единого контактного лица (SPOC) в своих командах.

Открытый проект безопасности веб-приложений (OWASP)

Открытый исходный код — это здорово! Мы считаем, что использование открытых стандартов и инструментов сообщества является важной частью безопасной разработки программного обеспечения, особенно в долгосрочной перспективе. Вот почему мы внедрили несколько инструментов OWASP, сделали их частью нашего безопасного SDLC и сделали OWASP SAMM ядром нашего безопасного SDLC. Используя открытый исходный код, мы стремимся:

  • Воспользуйтесь преимуществами открытого исходного кода, используя стандарты и инструменты, разработанные сообществом.
  • Внесите свой вклад в открытый исходный код, убедившись, что он подходит для корпоративных решений.

Чтобы сделать аспект безопасности CloudBlue продукты более прозрачны, мы следуем Стандарт проверки безопасности приложений (АСВС). ASVS — это управляемая сообществом структура требований и средств контроля безопасности, которая фокусируется на определении функциональных и нефункциональных средств контроля безопасности, необходимых для проектирования, разработки и тестирования современных веб-приложений и веб-служб. Мы рассматриваем этот стандарт не как непреложный источник истины, а скорее как отправную точку для обсуждения темы безопасности.

Внешнее тестирование на проникновение

При отправке клиентам наши продукты становятся частью их инфраструктуры, увеличивая потенциальную поверхность атаки. Вот почему наши клиенты регулярно обращаются к своим командам безопасности или внешним командам с просьбой провести тесты на проникновение в наши продукты, чтобы убедиться, что общая безопасность их инфраструктуры не нарушена. Отчеты о таких испытаниях дают нам возможность увидеть с точки зрения клиента и лучше понять его нужды и требования.

Криптография

Мы принимаем комплекс мер для того, чтобы данные в наших продуктах были зашифрованы.

хаотичность

Все значения, которые должны быть случайными, такие как случайно сгенерированные ключи шифрования и векторы инициализации, генерируются с использованием криптографически безопасного генератора псевдочисел.

В дополнение к надлежащему источнику случайности используется следующий минимальный размер случайных данных:

ЦельМинимальная энтропия (бит)
Криптографические ключи128+
IV вектор128+
ID сессии80+

Симметричная криптография

CloudBlue Commerce использует алгоритм Advanced Encryption Standard (AES) для шифрования данных, поскольку он рекомендован Национальным институтом стандартов и технологий (NIST) для долгосрочного хранения, а также потому, что он часто включается как часть требований соответствия требованиям клиентов.

Мы используем следующие режимы AES:

  • AES в режиме Galois/Counter Mode (GCM)
  • AES в режиме цепочки блоков шифров (CBC) с хешированным кодом аутентификации сообщения (HMAC)

шифроватьЦельФормат хранения
AES-128-CBC со случайным IVХранить конфиденциальные данные$AES-128-CBC${IV}${Зашифрованные данные в BASE64}
AES-128-GCM со случайным уникальным одноразовым номеромХраните и отправляйте конфиденциальные данные$AES-128-GCM${Nonce}${Зашифрованные данные в BASE64}
AES-128-CBC-HMAC со случайным IVХраните и отправляйте конфиденциальные данные$AES-128-CBC${IV}${Зашифрованные данные в BASE64}${HMAC BASE64}

Безопасность на транспорте

Чтобы обеспечить безопасную передачу данных по сети, CloudBlue Commerce использует TLS 1.2 со следующими наборами шифров:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

Сертификация

Мы постоянно работаем над расширением охвата соответствия. В настоящее время мы сертифицированы по стандарту ISO27001:2013.

CloudBlue имеет политики и процедуры для демонстрации соблюдения GDPR и условий Кодекса поведения GDPR Cloud Security Alliance посредством CloudBlue и наши подпроцессоры. Чтобы показать соответствие, CloudBlue может предоставить доказательства, перечисленные ниже:

  • Самооценка STAR доступна на веб-сайте Cloud Security Alliance
  • Общедоступная версия Политики информационной безопасности и поддерживающих политик
  • Сертификат ISO 27001 (требуется NDA)
  • Заявление о конфиденциальности: https://corp.ingrammicro.com/en-us/legal/privacy

Конфиденциальность данных и защита данных

CloudBlue являясь глобальной организацией, соблюдает различные законы и правила о конфиденциальности данных, включая Общий регламент по защите данных (GDPR), Калифорнийский закон о конфиденциальности потребителей (CCPA) и Кодекс поведения GDPR Alliance Security Alliance. Мы принимаем необходимые технические и организационные меры безопасности и обеспечиваем защиту прав субъекта данных.

Используя Услуги, вы соглашаетесь с тем, что мы можем использовать Данные в соответствии с нашим Положением о конфиденциальности, доступным здесь.

Каждая сторона признает и соглашается соблюдать законодательство о защите данных и конфиденциальности, применимое к выполнению ими настоящих Условий («Законы о защите данных»), включая, помимо прочего, Закон штата Калифорния о конфиденциальности потребителей («CCPA») и Европейский Общий регламент Союза по защите данных (Регламент (ЕС) 2016/679) («GDPR»), в том числе при использовании, обработке, раскрытии, передаче, обмене или обработке любым способом и для любых целей любой информации, которая относится к идентифицированному или идентифицируемому физическое лицо («Персональные данные»), полученное от другой стороны или от ее имени в течение срока действия настоящих Условий. Все Персональные данные, раскрываемые одной стороной и обрабатываемые другой стороной в рамках настоящих Условий, являются конфиденциальной информацией раскрывающей стороны и подпадают под действие обязательств по сохранению конфиденциальности, изложенных в пункте 9 настоящих Условий.

Вы признаете, что можете использовать определенные функциональные возможности Платформы для создания информации о конечном пользователе и данных для необходимых бизнес-операций. Если какие-либо данные конечного пользователя будут запрошены и предоставлены или доступны вам, вашим сотрудникам, агентам или подрядчикам, вы обязуетесь полностью соблюдать все применимые законы, правила и распоряжения правительства, включая те, которые касаются персональных данных и/или информации, позволяющей установить личность ( «PII») и конфиденциальность данных в отношении любых таких данных, которые вы получаете или к которым имеете доступ в соответствии с настоящими Условиями или в связи с предоставлением любых других услуг, которые вы или клиент получаете. В противном случае вы будете защищать PII и не будете использовать, раскрывать или передавать через границы такую ​​PII, если это не разрешено субъектом данных или в соответствии с применимыми законами. В той мере, в какой вы получаете PII, связанную с выполнением настоящих Условий, вы будете защищать конфиденциальность и законные права любой такой третьей стороны.

Невзирая ни на какие положения настоящих Условий об обратном, CloudBlue может копировать, изменять, распространять и иным образом использовать Персональные данные, полученные от вас или от вашего имени, в объеме, необходимом для целей предоставления Платформы и Услуг. Вы гарантируете и заверяете, что у вас уже есть или вы получите, в зависимости от обстоятельств, и будете поддерживать в силе все разрешения, согласия и полномочия, которые требуются в соответствии с действующим законодательством для предоставления или организации предоставления Персональных данных CloudBlue. Вы заявляете и гарантируете, что у вас есть полная возможность и законное право предоставлять и делать доступными Персональные данные для CloudBlue как это предусмотрено настоящими Условиями. Вы не будете ни действием, ни бездействием CloudBlue в нарушение своих юридических обязательств в соответствии с применимым законодательством о защите данных и конфиденциальности и в связи с настоящими Условиями.

В той мере, в какой CCPA применяется к исполнению сторонами настоящих Условий, Персональные данные, используемые в настоящих Условиях, включают всю «личную информацию», как этот термин определяется в CCPA. Каждая сторона признает и соглашается с тем, что в отношении обмена такими Персональными данными с CloudBlue в соответствии с настоящими Условиями, CloudBlue является «поставщиком услуг», как этот термин определен в CCPA. В отношении Персональных данных, состоящих из «личной информации» в соответствии с определением этого термина в CCPA, CloudBlue настоящим подтверждает, что понимает, что ему запрещено (а) продавать эти Персональные данные (как «продажа» определяется в CCPA), (б) сохранять, использовать или раскрывать эти Персональные данные для любых целей, отличных от конкретных целей. предоставления Услуг или иным образом, разрешенным CCPA, включая сохранение, использование или раскрытие Персональных данных в коммерческих целях, отличных от предоставления Услуг, и (c) сохранение, использование или раскрытие Персональных данных за пределами своей прямой деятельности отношения с вами.

CloudBlue использует алгоритм Advanced Encryption Standard (AES) для шифрования данных в состоянии покоя. Все данные на уровне хранилища по умолчанию шифруются с помощью AES256. Трафик шифруется при передаче с использованием протокола Transport Layer Security 1.2 (TLS) с использованием стандартного отраслевого шифрования AES-256. TLS — это набор стандартных криптографических протоколов, используемых для шифрования информации, которой обмениваются по сети.

Доступность гарантируется за счет использования нашей инфраструктуры на уровне "Премиум" Azure, который обеспечивает высокую доступность за счет региональной избыточности.

GDPR и обработка персональных данных

В целях обработки Персональных данных, поступающих из Европейской экономической зоны, на которую распространяется GDPR, CloudBlue настоящим соглашается включить в соответствии с настоящим пунктом 11.2 соглашение об обработке данных (далее «DPA»), условия которого являются неотъемлемой частью настоящих Условий и применяются только в том случае и в той мере, в какой CloudBlue обрабатывает Персональные данные в рамках предоставления Платформы и Услуг (совместно именуемые «Облачные услуги»).

Термины, используемые в этом DPA, но не определенные в нем (если таковые имеются), имеют значения, указанные в настоящих Условиях, GDPR или CCPA, соответственно.

Каждая сторона признает и соглашается с тем, что в той мере, в какой Персональные данные подпадают под действие GDPR, клиент является «контролером данных» тех Персональных данных, которые CloudBlue процессы от его имени и CloudBlue является «обработчиком данных».

До такой степени, что CloudBlue «обрабатывает» (согласно определению этого термина в GDPR) Персональные данные, подпадающие под действие GDPR, от имени клиента, CloudBlue должен:

  • Обрабатывать Персональные данные, предоставленные клиентом, только в соответствии с его инструкциями и ни для каких других целей, кроме тех, которые определены клиентом, поскольку это необходимо для выполнения его обязательств, изложенных в настоящих Условиях, и для выполнения юридического обязательства.

Однако, если в любое время в ходе выполнения настоящего DPA и настоящих Условий, CloudBlue устанавливает, что инструкции клиента каким-либо образом кажутся незаконными или не соответствующими действующему законодательству, CloudBlue должен без неоправданной задержки уведомить клиента и ожидать дальнейших указаний.

Принимать разумные меры для обеспечения надежности сотрудников, которые имеют доступ к Персональным данным, обрабатываемым в рамках выполнения обязательств по настоящим Условиям, и чтобы все сотрудники, которым CloudBlue раскрывает Персональные данные, уведомлены о том, что Персональные данные являются конфиденциальной информацией и подпадают под действие обязательств, изложенных в настоящем DPA и настоящих Условиях.

  • Принимая во внимание современное состояние, затраты на реализацию, характер, объем, контекст и цели обработки и характер Персональных данных, а также риск и серьезность для прав и свобод физических лиц, принимать и поддерживать в течение выполнение настоящим DPA соответствующих технических и организационных мер против несанкционированной или незаконной обработки этих Персональных данных, а также против случайной потери, уничтожения или повреждения Персональных данных. Дополнительная информация о мерах безопасности, реализованных CloudBlue доступна в соответствии с пунктом 10 выше настоящих Условий, и по письменному запросу CloudBlue. Принимая настоящие Условия и настоящее DPA, клиент соглашается с мерами безопасности, принятыми и реализуемыми CloudBlue.
  • Как можно скорее информировать клиента о любом запросе субъекта данных на осуществление его прав на доступ, исправление, изменение, ограничение обработки или удаление («право на забвение»), переносимость данных, возражение против обработки Персональных данных этого лица. Данные или любой другой запрос субъекта данных, уведомления третьих лиц, утечка личных данных или потеря личных данных клиента, а также помощь и сотрудничество с клиентом, чтобы предотвратить любые последствия и обеспечить соблюдение применимых законов о защите данных. Клиент будет нести необоснованные расходы, понесенные CloudBlue связанных с такой помощью и сотрудничеством.
  • Оказывать разумную помощь клиенту, чтобы он мог выполнять свои обязательства в соответствии с Законами о защите данных, включая, помимо прочего, запросы субъектов данных, в той степени, в которой клиент иным образом не имеет доступа к соответствующей информации, и в той мере, в какой это информация доступна для CloudBlue. CloudBlue должен оказывать разумную помощь клиенту в сотрудничестве или предварительных консультациях с надзорным органом в отношении выполнения его задач в соответствии с настоящим DPA, в той степени, в которой это требуется в соответствии с Законами о защите данных. Клиент несет расходы, связанные с такой помощью.
  • После прекращения действия настоящих Условий прекратить всю обработку Персональных данных клиента и удалить или, по запросу клиента, вернуть все файлы, содержащие Персональные данные, за исключением случаев, когда сохранение Персональных данных требуется по закону. Клиент несет расходы, связанные с таким возвратом или удалением данных. CloudBlue предоставляет клиентам помощь в расторжении контракта в течение Разрешенного периода после расторжения (если применимо)
  • Любые изменения, касающиеся соответствующих облачных сервисов, будут сообщены клиентам по электронной почте или через технических менеджеров по работе с клиентами.
  • CloudBlue остается ответственным перед нашими клиентами за выполнение обязательств нашего вспомогательного обработчика.
  • CloudBlue будет делиться соглашениями, заключенными с нашими субобработчиками, частично по запросу клиента, если это необходимо для демонстрации соблюдения.
  • CloudBlue клиенты могут напрямую получать копию личных данных, которые они предоставили в связи с предоставляемой ими услугой, в структурированном, широко используемом, машиночитаемом и совместимом формате.
  • Авторизованные пользователи могут запросить через клиентский портал, что CloudBlue удалить все записи клиентов через удаление базы данных. CloudBlue будет удалять данные клиентов только по явному указанию клиентов в соответствии с нашими стандартными условиями. CloudBlue вернет данные в стандартном формате клиенту (контролеру данных) по запросу без дополнительной оплаты.

Заказчик признает и соглашается с тем, что CloudBlue может потребоваться передать любую из своих операций по обработке Персональных данных клиента своим аффилированным лицам или сторонним субподрядчикам, расположенным в разных странах. С этой целью, принимая положения и условия настоящего DPA и настоящих Условий, клиент тем самым предоставляет CloudBlue общее разрешение на использование субподрядчиков, если это необходимо для обеспечения производительности облачных сервисов, CloudBlueобязательств по настоящим Условиям или для обеспечения соблюдения юридических обязательств. Чтобы избежать сомнений, CloudBlue передает свои операции по обработке данных только в соответствии с настоящим DPA и настоящими Условиями в соответствии с требованиями применимых законов о защите данных. По письменному запросу заказчика, CloudBlue предоставляет заказчику список субподрядчиков, участвующих в обработке Персональных данных по настоящему Соглашению. Заказчик признает и соглашается с тем, что CloudBlue может потребоваться передать, раскрыть или иным образом разрешить доступ к Персональным данным, обрабатываемым в рамках предоставления Облачных услуг, своим аффилированным лицам или субподрядчикам, расположенным в разных странах, в том числе за пределами Европейской экономической зоны («ЕЭЗ»), с целью обеспечения производительность облачных сервисов и CloudBlueобязательств по настоящему DPA и настоящим Условиям или для обеспечения соблюдения юридических обязательств. Принимая положения и условия настоящего DPA и настоящих Условий, клиент соглашается на такую ​​передачу данных. Список мест передачи данных может быть предоставлен заказчику по письменному запросу в CloudBlue. Чтобы избежать сомнений, CloudBlue соглашается с тем, что любое раскрытие, доступ или передача за пределы ЕЭЗ Персональных данных клиента, обрабатываемых в соответствии с настоящим Соглашением, будет осуществляться в соответствии с применимыми законами о защите данных.

Заказчик не должен обеспечивать обработку, передачу или предоставление доступа к CloudBlue любые Персональные данные, за исключением случаев, когда при необходимости субъект данных дал свое согласие на обработку своих Персональных данных в соответствии с Законами о защите данных. Клиент признает и соглашается с тем, что он несет исключительную ответственность за предоставление необходимой информации о прозрачности и получение всех необходимых согласий субъектов данных для обработки Персональных данных в соответствии с настоящим DPA и настоящими Условиями. Таким образом, клиент гарантирует и заявляет, что там, где необходима такая прозрачность информации и согласие, клиент предоставил такую ​​информацию и получил согласие субъекта данных, и по письменному запросу копии таких согласий будут предоставлены CloudBlue до передачи Персональных данных на обработку.

CloudBlue соглашается провести аудит или нанять независимого стороннего аудитора, инспектора, регулирующего органа и другого представителя, назначенного заказчиком в письменной форме для проведения аудита от имени заказчика с целью подтверждения CloudBlueсоблюдения своих обязательств по настоящему DPA, однако такой аудит может быть запрошен только с предварительным письменным уведомлением за тридцать (30) рабочих дней и выполнен в течение следующих месяцев (июль, август и сентябрь) и только один раз каждые двенадцать (12) месяцы. На такого стороннего аудитора, инспектора, регулирующего органа или другого представителя, назначенного заказчиком, распространяется соглашение о конфиденциальности, предоставленное CloudBlue до аудита. CloudBlue должен предоставить заказчику для целей аудита и по письменному запросу разумную информацию, необходимую для демонстрации соблюдения CloudBlueобязательств по настоящему DPA, за исключением любой информации, документов или записей, относящихся к деловым отношениям CloudBlue с любой третьей стороной или с документами или записями, уже проверенными заказчиком в течение предыдущих двенадцати (12) месяцев. Заказчик должен проводить любую проверку в согласованный между сторонами день, в обычное рабочее время и не вмешиваясь в ход работ. CloudBlueделовые операции. Все такие аудиты должны проводиться исключительно за счет заказчика.

Несмотря на любое иное в настоящих Условиях, клиент возмещает ущерб и удерживает CloudBlue без вины от любой ответственности, убытков, претензий, штрафов, убытков, затрат и расходов любого характера, в том числе если они наложены надзорным органом на CloudBlue и возникающие в результате любых претензий, действий, разбирательств или расчетов, возникающих в результате нарушения или несоблюдения клиентом условий настоящего DPA, настоящих Условий и/или применимых законов о защите данных.

Настоящий DPA вступает в силу с даты вступления в силу настоящих Условий и остается в полной силе и действии в течение срока действия настоящих Условий. Действие настоящего DPA прекращается автоматически с прекращением или истечением срока действия Условий.

Информация об обработке данных

A. Категории субъектов данных, персональные данные которых могут обрабатываться в соответствии с настоящим документом, включают, но не ограничиваются:

  1. сотрудники заказчика, имеющие аккаунты в Платформе
  2. реселлеры, суб-реселлеры и конечный пользователь

B. Тип обрабатываемых персональных данных может включать: имя, фамилию, адрес, адрес электронной почты, номер телефона и любую другую информацию, которая может потребоваться и быть доступной для CloudBlue Заказчиком в целях оказания Услуги.

C. Персональные данные в любом случае будут обрабатываться в целях оказания Услуг.

D. Персональные данные будут обрабатываться в течение срока действия Условий и в соответствии с требованиями законодательства о защите данных.

E. Контактное лицо CloudBlue относительно этого Раздела одиннадцать (11):

Имя: Аарон Мендельсон Инграм, специалист по защите микроданных

Адрес электронной почты: privacy@ingrammicro.com.

Как сообщить о проблеме безопасности

О политике

Обеспечение высокого уровня безопасности продукта является главным приоритетом CloudBlue. Мы считаем, что прозрачность оценки безопасности поможет нам, внешним службам безопасности и нашим клиентам быть на одной волне, когда речь идет о безопасности в CloudBlue. Мы готовы работать со всеми, кто добросовестно отправляет отчеты об уязвимостях, как описано в этом разделе. Вот почему мы формализовали процесс обработки уязвимостей безопасности.

Исследования

Мы призываем всех следовать этим правилам при проведении исследований:

  • Соблюдайте действующее законодательство и все применимые требования к лицензии на программное обеспечение.
  • Приложите все усилия, чтобы избежать нарушений конфиденциальности, нарушения работы производственных систем, снижения производительности и потери данных во время тестирования безопасности.
  • Используйте выявленные каналы связи, чтобы сообщить нам информацию об уязвимостях.
  • Сохраняйте конфиденциальность информации о любых обнаруженных вами уязвимостях между вами и CloudBlue пока у нас не будет 90 дней, чтобы решить проблему.

Критерии уязвимости

Эксплуатируемость — это наш общий критерий для того, чтобы начать рассматривать проблему как уязвимость. Другими словами, мы рассматриваем ошибку как уязвимость, если она может повлиять на конфиденциальность, целостность или доступность нашего продукта. В любом другом случае мы рассматриваем это как обычную ошибку, и сроки, указанные в разделе «Анализ», не применимы.

Под термином «злоумышленник» мы подразумеваем злоумышленника, который пытается негативно повлиять на конфиденциальность, целостность или доступность нашего продукта. Мы предполагаем, что злоумышленник является высококвалифицированным специалистом, хорошо знающим наш продукт и его внутреннюю архитектуру, и что меры безопасности, подпадающие под действие принципа «безопасность через неясность», не будут иметь никакого эффекта.

Каждая ошибка должна быть исправлена. Однако процедура исправления ошибки отличается от устранения уязвимости. В разделе «Исключения» ниже вы можете найти наиболее часто сообщаемые проблемы, которые не являются уязвимостями с нашей точки зрения и впоследствии рассматриваются как обычные ошибки.

Исключения

  • Выявление трассировки стека.
  • Воздействие внутренних IP-адресов.
  • Заявления о том, что программное обеспечение устарело или уязвимо без кода эксплойта, подтверждающего концепцию.
  • Уязвимости, которые нельзя использовать без привлечения CloudBlue Пользователи коммерции, например, самостоятельно используют xss или заставляют пользователя вставлять код JavaScript в консоль браузера.
  • Непроверенные отчеты автоматических сканеров веб-уязвимостей, таких как Acunetix, Owasp Zap и Burp Suite.
  • Несоответствие протокола.
  • Открытые панели входа.
  • Отсутствуют флаги файлов cookie для файлов cookie без аутентификации.
  • Проблемы, затрагивающие только устаревшие пользовательские агенты или версии приложений. Мы рассматриваем эксплойты только в последних версиях браузеров Safari, Mozilla Firefox, Google Chrome, Microsoft Edge и Internet Explorer.
  • Проблемы, требующие физического доступа к компьютеру или устройству жертвы.
  • Раскрытие пути.
  • Проблемы с захватом баннеров: выяснение того, какой веб-сервер мы используем, какая версия используется и так далее.
  • Весьма спекулятивные сообщения о теоретических повреждениях.

Процедура отчетности

Report

Чтобы сообщить об уязвимости системы безопасности, затрагивающей CloudBlue продукты, пожалуйста, свяжитесь с CloudBlue Группа безопасности приложений. Мы отвечаем на такие сообщения в течение трех рабочих дней.

Пожалуйста, сообщите следующую информацию:

  • Описание уязвимости, включая экспериментальный код эксплойта или сетевые трассировки (при наличии).
  • Сведения о затрагиваемом продукте, включая версию продукта и затронутый компонент.
  • Публичность уязвимости или была ли она уже публично раскрыта.

Всем рекомендуется сообщать об обнаруженных уязвимостях, независимо от контрактов на обслуживание или статуса жизненного цикла продукта. CloudBlue приветствует отчеты об уязвимостях от исследователей, отраслевых групп, CERT, партнеров и любых других источников. CloudBlue не требует соглашения о неразглашении в качестве обязательного условия для получения отчетов. CloudBlue уважает интересы сообщающей стороны (отчеты могут быть анонимными по запросу) и соглашается устранить любую уязвимость, которая, как обоснованно считается, связана с CloudBlue товары в разделе Область применения. CloudBlue следует практике согласованного раскрытия информации об уязвимостях (CVD), и для защиты экосистемы мы просим тех, кто сообщает нам, делать то же самое.

Для получения дополнительной информации о сердечно-сосудистых заболеваниях см. следующий документ: Руководство CERT по скоординированному раскрытию уязвимостей.

Анализ

Во-первых, CloudBlue Группа безопасности приложений исследует и воспроизводит уязвимость. Если нужно, CloudBlue запросит дополнительную информацию у репортера.

В ходе этого этапа CloudBlue Группа безопасности приложений выполняет следующие действия:

  • Анализирует влияние на основе существующих требований безопасности, масштаба и контекста уязвимости.
  • Выполняет этап эксплуатации уязвимости.
  • Вычисляет серьезность уязвимости, используя оценку CVSS v3.1.

На основе результатов группа безопасности приложений присваивает уязвимости один из следующих уровней серьезности:

  • Критические: уязвимости, которые не могут быть устранены с помощью решений безопасности и требуют выпуска исправления в течение одной недели.
  • Средний: уязвимости, которые можно устранить с помощью существующих решений безопасности, например WAF, но требующих выпуска исправления в течение трех недель.
  • Низкий: Уязвимости и проблемы, которые могут быть устранены в ближайшем выпуске нашего продукта. Выпуск исправления может быть выпущен более чем через три недели.

Управляемость

CloudBlue выполняет внутреннюю обработку уязвимостей в сотрудничестве с ответственными группами разработчиков. В это время поддерживается регулярная связь между CloudBlue и сообщающая сторона, чтобы информировать друг друга о текущем статусе и убедиться, что сообщающая сторона понимает CloudBlueпозиция. Предварительно выпущенное исправление программного обеспечения, если оно доступно, может быть предоставлено сообщающей стороне для проверки.

Разглашение

После успешного анализа проблемы и необходимости исправления соответствующие исправления будут разработаны и подготовлены к распространению. CloudBlue будет использовать существующие процессы уведомления клиентов для управления выпуском исправлений, которые могут включать прямое уведомление клиентов или общедоступный выпуск рекомендаций по безопасности, содержащих всю необходимую информацию.

An CloudBlue Информационная записка по безопасности обычно содержит следующую информацию:

  • Описание уязвимости и ее оценка CVSS v.3.1.
  • Описание воздействия.
  • Список известных уязвимых продуктов и версий программного или аппаратного обеспечения.
  • Информация о смягчающих факторах и обходных путях.
  • Расположение доступных исправлений.

Объем

  • CloudBlue Коммерческая платформа
  • CloudBlue Подключить платформу

Вне области

Инфраструктурные среды с компонентами, связанными с работой продукта:

  • Неправильная конфигурация и уязвимости операционной системы.
  • Любые сторонние услуги или услуги, размещенные сторонними поставщиками.
  • Выводы для приложений или систем, не перечисленных в разделе «Область применения».
  • Ошибки UI и UX и орфографические ошибки.
  • Уязвимости отказа в обслуживании (DoS/DDoS) на сетевом уровне.
  • Результаты физического тестирования, такие как доступ в офис, например, открытые двери или задняя дверь.
  • Выводы получены в основном с помощью социальной инженерии, например, фишинга.

Чтобы защитить вашу конфиденциальность, пожалуйста, никогда не проходите CloudBlue любая информация, которую мы можем распознать как:

  • Информация, позволяющая установить личность (PII);
  • Данные держателя кредитной карты.

Контактная информация

Если вы считаете, что обнаружили уязвимость в одном из наших продуктов, отправьте нам электронное письмо по адресу безопасность @cloudblue.com.

Пожалуйста, включите в отчет следующие данные:

  • Описание местоположения и потенциального воздействия уязвимости.
  • Подробное описание шагов, необходимых для воспроизведения уязвимости. Код эксплойта для подтверждения концепции, скриншоты и сжатые снимки экрана — все это нам полезно.
  • Ваше имя или псевдоним и ссылка для признания в нашем Зале славы или запрос на анонимность.

По возможности используйте наш PGP-ключ для шифрования отчета:

—– НАЧАТЬ БЛОК ПУБЛИЧНЫХ КЛЮЧЕЙ PGP—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAweChgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —– ЗАВЕРШИТЬ БЛОК ПУБЛИЧНЫХ КЛЮЧЕЙ PGP—–

CloudBlue, Ingram Micro Business использует файлы cookie для повышения удобства использования нашего сайта. Продолжая использовать этот сайт и/или авторизуясь, вы соглашаетесь с использованием этих файлов cookie. Для получения дополнительной информации посетите наш Политика конфиденциальности.
Я СОГЛАСЕН