Politique de divulgation des vulnérabilités
Introduction
Chez Graphic Packaging International (GPI), le maintien de l’intégrité et de la sécurité de nos actifs numériques est primordial. Bien que nous nous engagions à répondre à toutes les menaces pour la sécurité, cette politique se concentre spécifiquement sur les vulnérabilités externes, en particulier celles qui ont un impact sur nos plateformes accessibles au public. Nous encourageons la divulgation responsable de ces vulnérabilités afin d’assurer la sécurité continue de nos systèmes. Nous apprécions la collaboration avec des chercheurs en sécurité externe, des personnes ou des organisations qui se consacrent à l’enquête et au signalement des vulnérabilités qu’ils découvrent. En identifiant les vulnérabilités et en les traitant rapidement, nous renforçons non seulement la sécurité de nos solutions de fabrication, mais préservons également les intérêts de nos précieux clients.
Politique de divulgation des vulnérabilités
Cette politique guide nos interactions avec des chercheurs en sécurité externes, garantissant une approche standardisée et éthique du signalement des vulnérabilités. Vous trouverez ci-dessous les principaux aspects de notre politique de divulgation des vulnérabilités.
Admissibilité
– Vous êtes un chercheur individuel en sécurité externe participant à titre personnel.
– Vous travaillez pour un organisme de recherche en sécurité qui vous permet de participer à titre personnel. Vous êtes responsable de consulter et de respecter les règles de votre employeur concernant votre participation à ce programme.
Portée
Cette politique s'applique à tout actif numérique détenu, exploité ou maintenu par GPI, y compris les sites Web publics *.graphicpkg.com.
Veuillez noter
GPI n'offre pas de compensation en échange de l’identification des problèmes potentiels.
Engagement envers les chercheurs
– Confiance: Nous maintenons la confiance et la confidentialité dans nos engagements avec les chercheurs en sécurité.
– Respect: Nous reconnaissons et respectons les précieuses contributions des chercheurs à la préservation de notre intégrité opérationnelle.
– Bien-être collectif: Notre approche de résolution des problèmes donne la priorité au bien-être et à la sécurité des personnes qui pourraient être affectées par les vulnérabilités signalées.
Ce que nous demandons aux chercheurs
– Confiance: Nous espérons que les chercheurs communiqueront sur les vulnérabilités potentielles de manière fiable, en fournissant suffisamment de détails et d’informations pour que notre équipe puisse identifier et valider les problèmes potentiels.
– Respect: Abstenez-vous de toute violation de la vie privée et de toute action qui pourrait nuire à nos systèmes ou services en créant une dégradation ou une interruption de ces systèmes ou services, y compris la perte ou la manipulation de données.
– Bien-être collectif: Veuillez vous abstenir de divulguer publiquement les vulnérabilités avant que des mesures d’atténuation ne soient prises. Ne vous engagez pas dans des activités d’ingénierie sociale ou de hameçonnage en ciblant nos clients et nos employés.
– Évitez les tests qui entraînent des perturbations: Veuillez ne pas participer à des activités qui entraînent des perturbations qui pourraient compromettre la confidentialité, l’intégrité ou la disponibilité de nos informations et de nos systèmes.
Processus de signalement des vulnérabilités
Si vous pensez avoir trouvé une vulnérabilité dans un actif numérique détenu, contrôlé ou exploité par GPI, veuillez soumettre les informations sur la vulnérabilité à GPI par courrier électronique à l'adresse rapport de bugs@graphicpkg.com.
Pour permettre à GPI d'enquêter sur la vulnérabilité potentielle et d'y remédier, veuillez la signaler dès que possible après sa découverte et fournir un résumé détaillé de la vulnérabilité, y compris les informations suivantes, si elles sont connues :
– Une description de la découverte et de la manière dont elle a été découverte.
– Le ou les biens affectés.
– Instructions de reproduction pour permettre à GPI de valider la vulnérabilité.
L'équipe de sécurité GPI mènera une enquête approfondie et prendra les mesures appropriées pour résoudre le problème.