拜耳致力于通过 “科学创造美好生活”的宗旨来改善客户的生活。该使命的核心是对安全的承诺,它影响我们在产品生命周期中所作的决策,网络安全已经成为完整交付安全产品和服务的一部分。
拜耳根据全球安全政策的要求开展业务,这些政策指导拜耳在运营、产品以及服务过程中,针对识别到的及潜在安全漏洞和隐私漏洞有关的事件进行管理和风险评估活动。
作为安全产品的一部分,我们认可信息安全人员自发地、主动地在识别漏洞和降低风险方面所作工作的重要性。拜耳完全支持漏洞披露并鼓励那些选择参与这些活动的信息安全人员以合适的方式进行披露,信息安全人员可以通过下方提供的详细信息自愿地向拜耳披露漏洞。我们制定和实施这一符合拜耳公司价值观的政策,也是对善意的信息安全人员的承诺,他们选择向我们提供他们的专业知识和观察,并且发现了以前未发现的漏洞。
计划和范围:
本漏洞披露政策适用于拜耳所有商用类产品、服务以及企业运营。我们与网络安全研究界中那些选择为提高国际网络安全能力做出贡献的人合作,他们积极主动地识别和降低风险,使我们能够确保为我们的客户、病人和员工提供一个更安全的环境。
基于以上考虑,拜耳将维护一个名人堂。如有需求,在拜耳对提交材料进行审核、验证以及处理后,将自行为这些通过漏洞披露流程且合乎道德地披露漏洞的信息安全人员提供荣誉。
本声明中所建立的报告流程不得用于产品技术投诉、不良事件处理或者技术支持类需求。如果您有上述相关需求,请访问[https://www.bayer.com/en/contact-us],以便Bayer可以及时响应这些报告。
报告机制和法律条款:
在整个研究和披露过程中,信息安全人员必须遵守下述条款,我们同意与以下人员合作:
- 确保所提交文件不包含如患者健康信息(PHI)或个人识别信息(PII)类的敏感信息
- 不得对拜耳产品、服务或者基础设施进行可能导致人员或财产损害的研究或测试
- 避免在临床环境或其他可用于患者诊断、治疗、护理或检测的活动环境中研究或测试产品
- 在不影响客户或服务可用性的情况下,对产品或系统进行测试之前,或针对其他设备、软件、基础设施等开展研究或测试活动之前,需获得拜耳产品所有者的书面许可/同意(如适用)
- 遵守适用于您和您所在地以及拜耳产品、服务、或运营相关司法管辖区的法律法规
- 不得利用漏洞进行不当行为操作,例如利用超出证明其合理范围的漏洞、修改或删除系统上的数据、从系统复制敏感数据、或向产品中引入其他漏洞
- 不得在本漏洞披露政策之外进行操作
- 向我们提供过去或计划与监督机构/其他第三方就任何发现的漏洞进行沟通的详细信息
- 根据适用于信息安全人员和拜耳的劳动法,允许他们自愿从事他们所采取的行动,而不需要授权或预期的就业或服务相关的补偿
重要提示:除上述各点外,我们鼓励您与拜耳合作,为发现的漏洞选择披露日期。请您不要在双方商定的期限到达前向公众披露漏洞的详细信息,请在公开披露之前告知我们您的披露计划(如适用)。
如何提交漏洞
若自愿提交与拜耳中国区相关产品、服务或基础设施的漏洞或其他已被识别的网络安全风险,请发邮件到CHINACVD@bayer.com。
若自愿提交与拜耳产品、服务或基础设施相关的漏洞或其他已被识别的网络安全风险,请发邮件到CVD@bayer.com。
提交首选项、优先级和接受标准
我们将会按照下述标准对您的提交进行排序和分类:
我们对您的期望
- 提供良好的报告有助于提高解决问题的几率;
- 提供您的联系方式,如组织信息,联系姓名,首选联系方式,以便我们可以就您的发现和您沟通;
- 提供知道或疑似知道该发现的人员的姓名;
- 提供围绕该产品、服务以及基础设施测试的详细信息
- 提供以下信息:具体的产品测试,包含产品名称和版本号,基础架构技术测试包含操作系统和版本;以及相关的额外信息,如网络配置详细信息;
- 对于网页类解决方案,提供以下内容:测试日期和时间,URLs,浏览器类型和版本,以及需要提交给应用的输入;
- 提供漏洞的技术说明,包含漏洞的发现方式、被利用的潜在影响、以及提高交互效率的建议补救措施;
- 提供与所进行研究或测试相关的其他信息(如使用的工具、相关的测试配置、预估的影响和严重性、评估的范围等);
- 提供包含概念验证的代码报告以便我们能更好的分类
- 提供向拜耳披露的目标和/或公开披露的意图(如适用);
- 仅包含系统崩溃记录或者其他自动化工具生成的报告将会降低优先级;
- 不在该声明范围内的产品报告的优先级将会较低;
您将从拜耳得到什么
- 拜耳将会在3个工作日内确认接收您的报告;
- 拜耳将会为您的报告提供唯一识别号;
- 在初始化分类和评估阶段,拜耳的安全团队成员可能会联系您获取额外信息;
- 一旦收集到足够的信息,我们将:
- 验证报告的漏洞以及潜在影响
- 进一步评估报告并与适当的安全团队进行调查
- 根据我们既定的流程进行缓解/补救
- 在整个漏洞处理过程中,拜耳将随时向您分享报告的状态,包括任何重要的信息,并对时间表以及可能演唱时间表的问题或挑战提出明确的期望;
- 拜耳将保持开放对话以讨论问题;
- 拜耳将使用现有的客户通知流程来管理解决漏洞解决过程的发布更新,其中可能包含直接通知客户和/或发布公共通知;
- 如有需求,拜耳将在漏洞得到审核、验证、和处理之后,为信息安全人员的努力在荣誉墙上提供公众认可;
如果无法有效沟通或解决问题,拜耳可能会请求中立的第三方或其他相关监管机构协助解决。
本政策将定期更新。
备注:
您同意任何自愿与拜耳共享的信息将被视为非专有和非机密信息,并且您理解拜耳被允许以任何方式全部或部分使用此类信息并不受任何限制。此外,您同意提交信息不会为您创造代表拜耳的任何权利或义务。