iStock_80038439_XXXLARGE

Seguridad en Canon

En esta página, encontrará información importante sobre la seguridad en Canon


Política de divulgación de seguridad

En Canon nos tomamos muy en serio la seguridad de nuestros sistemas de TI y valoramos la comunidad de seguridad. La divulgación de las debilidades de seguridad nos ayuda a garantizar la seguridad y privacidad de nuestros usuarios actuando como un socio de confianza. Esta política explica los requisitos y mecanismos relacionados con la divulgación de vulnerabilidades del sistema de TI de Canon EMEA, que permite a los investigadores informar de las vulnerabilidades de seguridad de forma segura y ética al equipo de seguridad de la información de Canon EMEA.

Esta política se aplica a todos, incluidos los participantes internos de Canon y externos.


Ámbito

El equipo de seguridad de la información de Canon EMEA se compromete a proteger a los clientes y empleados de Canon. Como parte de este compromiso, invitamos a investigadores de seguridad a que ayuden a proteger a Canon informando de forma proactiva sobre vulnerabilidades y debilidades de seguridad. Puede informar sobre los detalles de sus hallazgos en: product-security@canon-europe.com


Dominios en este ámbito

Esta es la lista de dominios que se incluyen como parte de la política de divulgación de vulnerabilidades de Canon.

*.canon-europe.com

*.canon.nl

*.canon.co.uk

*.canon.com.tr

*.canon.com.de

*.canon.com.sa

*.canon.com.ae

*.canon.com.jp

*.canon.com.ca

*.canon.no

*.canon.es

*.canon.se

*.canon.pl

*.canon.be

*.canon.pt

*.canon.it

*.canon.dk

*.canon.ch

*.canon.fi

*.canon.at

*.canon.fr

*.canon.ie

*.uaestore.canon.me.com

 



Informe de una vulnerabilidad

Puede informarnos sobre debilidades por correo electrónico: product-security@canon-europe.com. Indique de forma concisa en su correo electrónico qué debilidades ha encontrado de la forma más explícita y detallada posible, y proporcione cualquier prueba que pueda tener, teniendo en cuenta que los especialistas de seguridad de Canon revisarán el mensaje. Incluya sobre todo lo siguiente en su correo electrónico:

  • El tipo de vulnerabilidad
  • Las instrucciones paso a paso para reproducir la vulnerabilidad
  • El enfoque que ha adoptado
  • La URL completa
  • Los objetos posiblemente implicados (como filtros o campos de entrada)
  • Capturas de pantalla (muy útiles)
  • Su dirección IP en el informe de debilidades Esto se mantendrá en privado para realizar un seguimiento de sus actividades de pruebas y para revisar los registros de nuestro lado

No aceptaremos la salida de escáneres de software automatizados.


Lo que no se aceptará:
  • Vulnerabilidades volumétricas/de denegación del servicio (es decir, sobrecargar nuestro servicio con un gran volumen de solicitudes)
  • Debilidades de la configuración TLS (p. ej., compatibilidad con el paquete de cifrado «débil», compatibilidad con TLS1.0, sweet32, etc.)
  • Problemas relacionados con la verificación de las direcciones de correo electrónico utilizadas para crear cuentas de usuario relacionadas con myid.canon
  • «Self» XSS
  • Scripts de contenido mixto en www.canon.*
  • Cookies no seguras en www.canon.*
  • Ataques de CSRF y CLRF en los que el impacto resultante es mínimo
  • HTTP Host Header XSS sin prueba de concepto en marcha
  • SPF/DMARC/DKIM incompletos/ausentes
  • Ataques de ingeniería social
  • Errores de seguridad en sitios web de terceros que se integran con Canon
  • Técnicas de enumeración de datos de red (p. ej., el banner grabbing o la existencia de páginas de diagnóstico del servidor disponibles públicamente)
  • Informes que indican que nuestros servicios no se ajustan completamente a las «prácticas recomendadas»

Qué haremos con su informe

Los expertos en seguridad de la información de Canon investigarán su informe y se pondrán en contacto con usted en un plazo de 5 días laborables.


Su privacidad

Solo utilizaremos sus datos personales para tomar medidas en función de su informe. No compartiremos sus datos personales con otras personas sin su permiso expreso.


Reglas

Acciones potencialmente ilegales

Si descubre una debilidad y la investiga, puede que esté realizando acciones penadas por la ley. Si sigue las normas y principios que se indican a continuación para informar de las debilidades de nuestros sistemas de TI, no notificaremos su delito a las autoridades ni presentaremos una demanda.

Sin embargo, es importante que sepa que la fiscalía, no CANON, puede decidir si se le someterá a acción judicial o no, incluso si no hemos denunciado su delito a las autoridades. Esto significa que no podemos garantizar que no se le someta a acción judicial si comete un delito penable al investigar una debilidad.

El National Cyber Security Centre del Ministerio de Seguridad y Justicia del Reino Unido ha creado unas directrices para informar sobre las debilidades de los sistemas de TI. Nuestras normas se basan en estas directrices. (https://english.ncsc.nl/)


Principios generales

Asuma la responsabilidad y actúe con sumo cuidado y precaución. Cuando investigue el asunto, utilice únicamente métodos o técnicas que sean necesarios para encontrar o demostrar las debilidades.

  • No utilice las debilidades que descubra para otros fines que no sean su propia investigación específica.
  • No utilice la ingeniería social para acceder a un sistema.
  • No instale puertas traseras, ni siquiera para demostrar la vulnerabilidad de un sistema. Las puertas traseras debilitarán la seguridad del sistema.
  • No modifique ni elimine información del sistema. Si necesita copiar información para su investigación, nunca copie más de lo que necesite. Si un registro es suficiente, no continúe.
  • No altere el sistema de ninguna manera.
  • Infíltrese en un sistema solo si es absolutamente necesario. Si consigue infiltrarse en un sistema, no comparta el acceso con otras personas.
  • No utilice técnicas de fuerza bruta, como la introducción repetida de contraseñas, para obtener acceso a los sistemas.
  • No utilice ataques de denegación de servicio (DoS) para obtener acceso.

Preguntas más frecuentes

¿Recibiré una recompensa por mi investigación?

No, no tiene derecho a ninguna compensación.

¿Se me permite divulgar las debilidades que encuentre y mi investigación?

No divulgue nunca las debilidades de los sistemas de TI de Canon ni su investigación sin consultarnos primero a través del correo electrónico: product-security@canon-europe.com. Podemos trabajar juntos para evitar que los criminales abusen de su información. Consúltelo con nuestro equipo de seguridad de la información y podremos trabajar juntos para su publicación.

¿Puedo informar de una debilidad de forma anónima?

Sí, es posible. No tiene que mencionar su nombre y sus datos de contacto cuando informa de una debilidad. No obstante, tenga en cuenta que no podremos consultar con usted las medidas de seguimiento, por ejemplo, qué hacemos con su informe o colaboración adicional.

¿Para qué no debo utilizar esta dirección de correo electrónico?

El correo electrónico product-security@canon-europe.com no está destinado para lo siguiente:

  • Enviar quejas sobre productos o servicios de Canon
  • Enviar preguntas o quejas sobre la disponibilidad de los sitios web de Canon
  • Informar sobre fraude o sospecha de fraude
  • Informar sobre correos electrónicos falsos o de phishing
  • Informar sobre virus

Es posible que también necesite…