拜耳漏洞披露聲明

拜耳緻力于通過 “科學創造美好生活”的宗旨來改善客戶的生活。該使命的核心是對安全的承諾,它影響我們在産品生命周期中所作的決策,網絡安全已經成爲完整交付安全産品和服務的一部分。

 

拜耳根據全球安全政策的要求開展業務,這些政策指導拜耳在運營、産品以及服務過程中,針對識别到的及潛在安全漏洞和隐私漏洞有關的事件進行管理和風險評估活動。

作爲安全産品的一部分,我們認可信息安全人員自發地、主動地在識别漏洞和降低風險方面所作工作的重要性。拜耳完全支持漏洞披露并鼓勵那些選擇參與這些活動的信息安全人員以合适的方式進行披露,信息安全人員可以通過下方提供的詳細信息自願地向拜耳披露漏洞。我們制定和實施這一符合拜耳公司價值觀的政策,也是對善意的信息安全人員的承諾,他們選擇向我們提供他們的專業知識和觀察,并且發現了以前未發現的漏洞。

 

計劃和範圍:

 

本漏洞披露政策适用于拜耳所有商用類産品、服務以及企業運營。我們與網絡安全研究界中那些選擇爲提高國際網絡安全能力做出貢獻的人合作,他們積極主動地識别和降低風險,使我們能夠确保爲我們的客戶、病人和員工提供一個更安全的環境。

基于以上考慮,拜耳将維護一個名人堂。如有需求,在拜耳對提交材料進行審核、驗證以及處理後,将自行爲這些通過漏洞披露流程且合乎道德地披露漏洞的信息安全人員提供榮譽。

本聲明中所建立的報告流程不得用于産品技術投訴、不良事件處理或者技術支持類需求。如果您有上述相關需求,請訪問[https://www.bayer.com/en/contact-us],以便Bayer可以及時響應這些報告。

 

報告機制和法律條款:

 

在整個研究和披露過程中,信息安全人員必須遵守下述條款,我們同意與以下人員合作:

  1. 确保所提交文件不包含如患者健康信息(PHI)或個人識别信息(PII)類的敏感信息
  2. 不得對拜耳産品、服務或者基礎設施進行可能導緻人員或财産損害的研究或測試
  3. 避免在臨床環境或其他可用于患者診斷、治療、護理或檢測的活動環境中研究或測試産品
  4. 在不影響客戶或服務可用性的情況下,對産品或系統進行測試之前,或針對其他設備、軟件、基礎設施等開展研究或測試活動之前,需獲得拜耳産品所有者的書面許可/同意(如适用)
  5. 遵守适用于您和您所在地以及拜耳産品、服務、或運營相關司法管轄區的法律法規
  6. 不得利用漏洞進行不當行爲操作,例如利用超出證明其合理範圍的漏洞、修改或删除系統上的數據、從系統複制敏感數據、或向産品中引入其他漏洞
  7. 不得在本漏洞披露政策之外進行操作
  8. 向我們提供過去或計劃與監督機構/其他第三方就任何發現的漏洞進行溝通的詳細信息
  9. 根據适用于信息安全人員和拜耳的勞動法,允許他們自願從事他們所采取的行動,而不需要授權或預期的就業或服務相關的補償

 

重要提示:除上述各點外,我們鼓勵您與拜耳合作,爲發現的漏洞選擇披露日期。請您不要在雙方商定的期限到達前向公衆披露漏洞的詳細信息,請在公開披露之前告知我們您的披露計劃(如适用)。

 

如何提交漏洞

 

若自願提交與拜耳中國區相關産品、服務或基礎設施的漏洞或其他已被識别的網絡安全風險,請發郵件到CHINACVD@bayer.com

若自願提交與拜耳産品、服務或基礎設施相關的漏洞或其他已被識别的網絡安全風險,請發郵件到CVD@bayer.com

 

提交首選項、優先級和接受标準

 

我們将會按照下述标準對您的提交進行排序和分類:

 

我們對您的期望

  • 提供良好的報告有助于提高解決問題的幾率;
  • 提供您的聯系方式,如組織信息,聯系姓名,首選聯系方式,以便我們可以就您的發現和您溝通;
  • 提供知道或疑似知道該發現的人員的姓名;
  • 提供圍繞該産品、服務以及基礎設施測試的詳細信息
    • 提供以下信息:具體的産品測試,包含産品名稱和版本号,基礎架構技術測試包含操作系統和版本;以及相關的額外信息,如網絡配置詳細信息;
    • 對于網頁類解決方案,提供以下内容:測試日期和時間,URLs,浏覽器類型和版本,以及需要提交給應用的輸入;
  • 提供漏洞的技術說明,包含漏洞的發現方式、被利用的潛在影響、以及提高交互效率的建議補救措施;
  • 提供與所進行研究或測試相關的其他信息(如使用的工具、相關的測試配置、預估的影響和嚴重性、評估的範圍等);
    • 提供包含概念驗證的代碼報告以便我們能更好的分類
  • 提供向拜耳披露的目标和/或公開披露的意圖(如适用);
  • 僅包含系統崩潰記錄或者其他自動化工具生成的報告将會降低優先級;
  • 不在該聲明範圍内的産品報告的優先級将會較低;

 

您将從拜耳得到什麽

  • 拜耳将會在3個工作日内确認接收您的報告;
  • 拜耳将會爲您的報告提供唯一識别号;
  • 在初始化分類和評估階段,拜耳的安全團隊成員可能會聯系您獲取額外信息;
  • 一旦收集到足夠的信息,我們将:
    • 驗證報告的漏洞以及潛在影響
    • 進一步評估報告并與适當的安全團隊進行調查
    • 根據我們既定的流程進行緩解/補救
  • 在整個漏洞處理過程中,拜耳将随時向您分享報告的狀态,包括任何重要的信息,并對時間表以及可能演唱時間表的問題或挑戰提出明确的期望;
  • 拜耳将保持開放對話以讨論問題;
  • 拜耳将使用現有的客戶通知流程來管理解決漏洞解決過程的發布更新,其中可能包含直接通知客戶和/或發布公共通知;
  • 如有需求,拜耳将在漏洞得到審核、驗證、和處理之後,爲信息安全人員的努力在榮譽牆上提供公衆認可;

如果無法有效溝通或解決問題,拜耳可能會請求中立的第三方或其他相關監管機構協助解決。

本政策将定期更新。

 

備注:

您同意任何自願與拜耳共享的信息将被視爲非專有和非機密信息,并且您理解拜耳被允許以任何方式全部或部分使用此類信息并不受任何限制。此外,您同意提交信息不會爲您創造代表拜耳的任何權利或義務。