Política de divulgación de vulnerabilidades
Introducción
En Graphic Packaging International (GPI), es primordial mantener la integridad y seguridad de nuestros activos digitales. Si bien estamos comprometidos a abordar todas las amenazas a la seguridad, esta política se centra específicamente en las vulnerabilidades externas, en especial, en aquellas que afectan nuestras plataformas de acceso público. Fomentamos la divulgación responsable de estas vulnerabilidades para garantizar la seguridad continua de nuestros sistemas. Valoramos la colaboración con investigadores de seguridad externos: personas u organizaciones dedicadas a investigar y notificar las vulnerabilidades que descubren. Al identificar vulnerabilidades y abordarlas rápidamente, fortalecemos la seguridad de nuestras soluciones de fabricación y también salvaguardamos los intereses de nuestros valiosos clientes.
Política de divulgación de vulnerabilidades
Esta política guía nuestras interacciones con investigadores de seguridad externos garantizando un enfoque estandarizado y ético para las notificaciones de vulnerabilidad. A continuación, se presentan los aspectos clave de nuestra Política de divulgación de vulnerabilidades.
Elegibilidad
– Debe ser un investigador de seguridad individual externo que participa en su propia capacidad individual.
– Debe trabajar para una organización de investigación de seguridad que le permite participar a título individual. Es responsable de revisar y cumplir las normas de su empleador para participar en este programa.
Alcance
Esta política se aplica a cualquier activo digital propiedad de GPI u operado o mantenido por esta, incluidos los sitios web públicos *.graphicpkg.com.
Tenga en cuenta lo siguiente
GPI no ofrece compensación a cambio de la identificación de posibles problemas.
Compromiso con los investigadores
– Confianza: Mantenemos la confianza y la confidencialidad en nuestros compromisos con los investigadores de seguridad.
– Respeto: Reconocemos y respetamos las valiosas contribuciones que hacen los investigadores para salvaguardar nuestra integridad operativa.
– Bienestar colectivo: Nuestro enfoque para resolver problemas prioriza el bienestar y la seguridad de aquellos potencialmente afectados por las vulnerabilidades informadas.
Lo que les pedimos a los investigadores
– Confianza: Confiamos en que los investigadores se comunicarán sobre las posibles vulnerabilidades de manera confiable, proporcionando suficientes detalles e información para que nuestro equipo identifique y valide los posibles problemas.
– Respeto: Deben evitar violaciones de privacidad y acciones que puedan dañar nuestros sistemas o servicios creando una degradación o interrupción de esos sistemas o servicios, incluida la pérdida o manipulación de datos.
– Bienestar colectivo: Deben abstenerse de divulgar públicamente las vulnerabilidades antes de que se produzca la mitigación. No deben participar en ingeniería social ni suplantación de identidad dirigidas a nuestros clientes y empleados.
– Evitar las pruebas disruptivas: No deben participar en actividades disruptivas que puedan comprometer la confidencialidad, integridad o disponibilidad de nuestra información y sistemas.
Proceso de notificación de vulnerabilidades
Si cree que ha encontrado una vulnerabilidad en cualquier activo digital propiedad de GPI o controlado u operado por esta, envíe la información de vulnerabilidad a GPI a través de un correo electrónico a bugreporting@graphicpkg.com.
Para permitir que GPI investigue y solucione la posible vulnerabilidad, infórmela lo antes posible después de descubrirla y proporcione un resumen detallado que incluya la siguiente información, si la conoce:
– Una descripción del hallazgo y cómo fue descubierto.
– Los activos afectados.
– Instrucciones de reproducción para permitir que GPI valide la vulnerabilidad.
El equipo de seguridad de GPI llevará a cabo una investigación exhaustiva y tomará las medidas adecuadas para resolver el problema.