iStock_80038439_XXXLARGE

Beveiliging van Canon-producten

Op deze pagina vindt u belangrijke informatie over de beveiliging van Canon-producten


Openbaarmakingsbeleid voor beveiligingslekken

Canon neemt de beveiliging van IT-systemen serieus en hecht veel waarde aan de beveiligingscommunity. De openbaarmaking van kwetsbaarheden in de beveiliging helpt Canon de veiligheid en privacy van Canon-gebruikers te waarborgen door als vertrouwde partner te handelen. In dit beleid worden de vereisten en het mechanisme uitgelegd met betrekking tot het vrijgeven van kwetsbaarheden in het IT-systeem van Canon EMEA, waarmee onderzoekers beveiligingslekken op een veilige en ethische manier kunnen melden aan het Canon EMEA Information Security-team.

Dit beleid is van toepassing op iedereen, inclusief interne en externe deelnemers van Canon.


Bereik

Het Canon EMEA Information Security-team zet zich in om de klanten en werknemers van Canon te beschermen. Als onderdeel van dit streven nodigt Canon beveiligingsonderzoekers uit om Canon te helpen beschermen door proactief kwetsbaarheden en zwakke punten in de beveiliging te melden. U kunt de details van uw bevinding(en) rapporteren op: appsec@canon-europe.com



Domeinen binnen bereik
Dit is de lijst met domeinen die deel uitmaken van het Canon-beleid voor openbaarmakingsbeleid voor beveiligingslekken.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Een beveiligingslek melden

U kunt beveiligingslekken per e-mail aan Canon doorgeven: appsec@canon-europe.com. Geef in uw e-mail kort, maar wel zo expliciet en gedetailleerd mogelijk aan welke beveiligingslekken u hebt gevonden en geef eventueel bewijs dat u hiervoor hebt door. Houd er rekening mee dat het bericht zal worden beoordeeld door de beveiligingsspecialisten van Canon. Neem met name het volgende op in uw e-mail:

  • Het type beveiligingslek
  • Stapsgewijze instructies voor het reproduceren van het beveiligingslek
  • De aanpak die u hebt gevolgd
  • De volledige URL
  • Mogelijk betrokken objecten (bijvoorbeeld filters of invoervelden)
  • Schermafdrukken worden zeer gewaardeerd
  • Geef uw IP-adres op in het Weakness Report. Dit wordt privé gehouden voor het bijhouden van uw testactiviteiten en het bekijken van de logboeken aan de kant van Canon

Canon accepteert geen uitvoer van geautomatiseerde softwarescanners.


Wat niet wordt geaccepteerd:
  • Volumetrische/Denial of Service-kwetsbaarheden (d.w.z. simpelweg de Canon-service overbelasten met een groot aantal aanvragen)
  • Zwakke punten in TLS-configuratie (bijv. ondersteuning voor 'zwakke' coderingssuite, ondersteuning voor TLS1.0, sweet32 enz.)
  • Problemen met betrekking tot de verificatie van e-mailadressen die worden gebruikt om gebruikersaccounts te maken voor myid.canon
  • 'Zelf'-XSS
  • Scripts voor gemengde inhoud op www.canon.*
  • Onveilige cookies op www.canon.*
  • CSRF- en CRLF-aanvallen waarbij de resulterende impact minimaal is
  • HTTP Host Header XSS zonder werkend proof-of-concept
  • SPF/DMARC/DKIM onvolledig/ontbreekt
  • Social engineering-aanvallen
  • Beveiligingsproblemen op websites van derden die met Canon kunnen worden geïntegreerd
  • Technieken voor het inventariseren van netwerkgegevens (bijv. banner grabbing, bestaan van openbaar beschikbare diagnostische serverpagina's)
  • Rapporten die aangeven dat Canon's services niet volledig zijn afgestemd op de 'best practice'

Wat Canon doet met uw melding

Canon-experts op het gebied van informatiebeveiliging onderzoeken uw melding en nemen binnen 5 werkdagen contact met u op.


Uw privacy

Canon gebruikt uw persoonlijke gegevens alleen om actie te ondernemen op basis van uw melding. Canon deelt uw persoonlijke gegevens niet met anderen zonder uw uitdrukkelijke toestemming.


Regels

Mogelijk onwettige acties

Als u een kwetsbaarheid ontdekt en deze onderzoekt, voert u mogelijk acties uit die wettelijk kunnen worden bestraft. Als u de onderstaande regels en principes volgt voor het melden van kwetsbaarheden in Canon's IT-systemen, zal Canon de overtreding niet melden aan de autoriteiten en wordt er geen aanklacht ingediend.

Het is echter belangrijk dat u weet dat het openbaar ministerie - niet CANON - kan beslissen of u wel of niet wordt vervolgd, zelfs als Canon uw overtreding niet aan de autoriteiten heeft gemeld. Dit betekent dat Canon niet kan garanderen dat u niet zult worden vervolgd als u een strafbaar feit begaat bij het onderzoeken van een kwetsbaarheid.

Het National Cyber Security Center van het Amerikaanse Ministerie van Veiligheid en Justitie heeft richtlijnen opgesteld voor het melden van kwetsbaarheden in IT-systemen. Canon's regels zijn gebaseerd op deze richtlijnen. (https://english.ncsc.nl/)


Algemene principes

Neem verantwoordelijkheid en handel uiterst voorzichtig en voorzichtig. Gebruik bij het onderzoeken van de kwestie alleen methoden of technieken die nodig zijn om de kwetsbaarheden te vinden of aan te tonen.

  • Gebruik kwetsbaarheden die u ontdekt niet voor andere doeleinden dan uw eigen specifieke onderzoek.
  • Gebruik geen social engineering om toegang te krijgen tot een systeem.
  • Installeer geen backdoors, zelfs niet om de kwetsbaarheid van een systeem aan te tonen. Backdoors verzwakken de beveiliging van het systeem.
  • Wijzig of verwijder geen informatie in het systeem. Als u informatie moet kopiëren voor uw onderzoek, kopieer dan nooit meer dan u nodig hebt. Als één record voldoende is, gaat u niet verder.
  • Breng op geen enkele wijze wijzigingen aan in het systeem.
  • Infiltreer een systeem alleen als dit absoluut noodzakelijk is. Als het u lukt een systeem te infiltreren, deelt u deze toegang dan niet met anderen.
  • Gebruik geen brute force-technieken, zoals het herhaaldelijk invoeren van wachtwoorden, om toegang te krijgen tot systemen.
  • Gebruik geen DoS-aanvallen (Denial of Service) om toegang te krijgen

Veelgestelde vragen

Ontvang ik een beloning voor mijn onderzoek?

Nee, u hebt geen recht op een vergoeding.

Mag ik de kwetsbaarheden die ik vind en mijn onderzoek bekendmaken?

Maak kwetsbaarheden in de IT-systemen van Canon of uw onderzoek nooit bekend zonder eerst per e-mail te overleggen met Canon: appsec@canon-europe.com. Canon kan met u samenwerken om te voorkomen dat criminelen misbruik maken van uw informatie. Overleg met het Canon Information Security-team voor samenwerking ten behoeven van eventuele publicatie.

Kan ik een kwetsbaarheid anoniem melden?

Ja, dat kan. U hoeft uw naam en contactgegevens niet te vermelden wanneer u een kwetsbaarheid meldt. Bedenk echter wel dat Canon niet met u kan overleggen over vervolgmaatregelen, bijvoorbeeld wat Canon zal doen met betrekking tot uw melding of verdere samenwerking.

Waarvoor mag ik dit e-mailadres niet gebruiken?

Het e-mailadres: appsec@canon-europe.com is niet bedoeld voor het volgende:

  • Om klachten in te dienen over producten of diensten van Canon
  • Om vragen of klachten in te dienen over de beschikbaarheid van Canon-websites.
  • Om fraude of verdenking van fraude te melden
  • Om nepberichten of phishing-e-mails te melden
  • Om virussen te melden

Dit is wellicht ook iets voor jou...