Einführung

Bei Graphic Packaging International (GPI) steht die Integrität und Sicherheit unserer digitalen Assets an erster Stelle. Obwohl wir darum bemüht sind, alle Sicherheitsbedrohungen zu bekämpfen, konzentriert sich diese Richtlinie speziell auf externe Sicherheitslücken, insbesondere auf solche, die unsere öffentlich zugänglichen Plattformen betreffen. Wir ermutigen zur verantwortungsvollen Offenlegung dieser Sicherheitslücken, um die kontinuierliche Sicherheit unserer Systeme zu gewährleisten. Wir schätzen die Zusammenarbeit mit externen Sicherheitsforschenden – Personen oder Organisationen, die Sicherheitslücken untersuchen und melden. Indem wir Sicherheitslücken erkennen und sie sofort beheben, stärken wir nicht nur die Sicherheit unserer Produktionslösungen, sondern schützen auch die Interessen unserer Kunden.

Richtlinie zur Offenlegung von Sicherheitslücken

Diese Richtlinie regelt unsere Interaktion mit externen Sicherheitsforschenden und gewährleistet einen standardisierten und ethischen Ansatz bei der Meldung von Sicherheitslücken. Im Folgenden finden Sie die wichtigsten Aspekte unserer Richtlinie zur Offenlegung von Sicherheitslücken.

Teilnahmeberechtigung

– Sie sind externer Sicherheitsforschender, der in seiner eigenen Eigenschaft teilnimmt.

– Sie arbeiten für eine Sicherheitsforschungsorganisation, die Ihnen die Teilnahme in Ihrer eigenen Eigenschaft erlaubt. Sie sind dafür verantwortlich, die Regeln Ihres Arbeitgebers für die Teilnahme an diesem Programm zu lesen und einzuhalten.

Geltungsbereich

Diese Richtlinie gilt für alle digitalen Assets, die GPI gehören, von GPI betrieben oder gepflegt werden, einschließlich öffentlicher Websites *.graphicpkg.com.

Bitte beachten Sie

GPI bietet keine Entschädigung im Austausch für die Identifizierung potenzieller Probleme.

Versprechen an Sicherheitsforschende

– Vertrauen: Wir wahren das Vertrauen und die Vertraulichkeit in unserer Zusammenarbeit mit Sicherheitsforschern.

– Respekt: Wir anerkennen und respektieren die wertvollen Beiträge, die Sicherheitsforschende zur Wahrung unserer betrieblichen Integrität leisten.

– Kollektives Wohlergehen: Bei unserem Ansatz zur Problemlösung stehen das Wohlergehen und die Sicherheit derjenigen im Vordergrund, die möglicherweise von den gemeldeten Sicherheitslücken betroffen sind.

Unsere Anforderungen an Sicherheitsforschende

– Vertrauen: Wir vertrauen darauf, dass die Forschenden potenzielle Sicherheitslücken zuverlässig kommunizieren und unserem Team ausreichend Details und Informationen zur Verfügung stellen, um potenzielle Probleme zu identifizieren und zu prüfen.

– Respekt: Sie unterlassen Datenschutzverletzungen und Handlungen, die unseren Systemen oder Diensten schaden, indem sie zu einer Beeinträchtigung oder Unterbrechung dieser Systeme oder Dienste führen, einschließlich des Verlusts oder der Manipulation von Daten.

– Kollektives Wohlergehen: Bitte sehen Sie davon ab, Sicherheitslücken öffentlich zu machen, bevor sie behoben wurden. Beteiligen Sie sich nicht an Social Engineering oder Phishing, indem Sie gezielt unsere Kunden und Mitarbeiter angreifen.

– Vermeiden Sie disruptive Tests: Beteiligen Sie sich nicht an störenden Aktivitäten, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Informationen und Systeme beeinträchtigen könnten.

Verfahren zur Meldung von Sicherheitslücken

Wenn Sie glauben, eine Sicherheitslücke in einem digitalen Asset gefunden zu haben, das GPI gehört, von GPI kontrolliert oder betrieben wird, senden Sie die Informationen zur Sicherheitslücke bitte per E-Mail an bugreporting@graphicpkg.com an GPI.

Damit GPI die potenzielle Sicherheitslücke untersuchen und beheben kann, melden Sie sie bitte so bald wie möglich nach der Entdeckung und stellen Sie eine detaillierte Zusammenfassung der Sicherheitslücke bereit, einschließlich der folgenden Informationen, sofern bekannt:

– Eine Beschreibung des Befunds und wie er entdeckt wurde.

– Die betroffenen Assets.

– Anweisungen zur Reproduktion, damit GPI die Sicherheitslücke prüfen kann.

Das GPI-Sicherheitsteam wird eine umfassende Untersuchung einleiten und geeignete Behebungsmaßnahmen ergreifen.