Ugrás a fő tartalomra
Kijelentkezés

Üdvözli a Dell!

Saját fiók
  • Rendelésfeladás gyorsan és egyszerűen
  • Rendelések megtekintése és a kiszállítási állapot követése
  • Terméklista létrehozása és elérése
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Bejelentkezés Fiók létrehozása Premier bejelentkezés Partnerprogram – bejelentkezés
Kapcsolatfelvétel

A Dell szabályzata a biztonsági résekre való reagálással kapcsolatban

Bevezetés

A Dell arra törekszik, hogy minimálisra csökkentse a termékeiben található biztonsági résekhez kapcsolódó kockázatokat. Célunk az, hogy ügyfeleink számára időszerű tájékoztatást, útmutatást és kockázatenyhítési lehetőségeket biztosítsunk a biztonsági rések kezeléséhez. A Dell Product Security Incident Response Team (Dell-termékek biztonsági incidenseire reagáló munkacsoport, Dell PSIRT) felelős a Dell-terméket érintő biztonsági résekkel kapcsolatos reagálás és tájékoztatás összehangolásért.

A Dell aktívan részt vesz számos közösségi tevékenységben​(angol nyelven)​, többek között a Forum of Incident Response and Response Teams (FIRST)​(angol nyelven)​, valamint a Software Assurance Forum for Excellence in Code (SAFECode)​(angol nyelven)​ munkájában. Folyamataink és eljárásaink összhangban vannak a FIRST PSIRT szolgáltatási keretrendszerrel​(angol nyelven)​, valamint egyéb szabványokkal, többek között az ISO/IEC 29147:2018​(angol nyelven)​ és az ISO/IEC 30111:2019​(angol nyelven)​ szabvánnyal.

A biztonsági résekre vonatkozó bejelentések kezelése

A Dell nagyra értékeli iparági partnereink és biztonsági kutatóink munkáját, valamint a biztonsági kezdeményezéseinkhez való minden hozzájárulást, és ösztönzi a felelős és összehangolt tájékoztatást, mivel ügyfeleink biztonsága elsődleges fontosságú. Arra törekszünk, hogy a Dell-specifikus biztonsági rések esetén mindig biztosítsunk korrekciós és/vagy kárenyhítő stratégiákat, illetve hogy együttműködjünk külső gyártókkal, amikor a probléma megoldásához az ő közreműködésükre is szükség van.

A jelen szabályzat értelmében az új biztonsági résekkel kapcsolatban nyilvánosságra hozott minden információ bizalmasnak minősül, és csak akkor osztható meg a Dell és a bejelentő fél között, ha az információ még nem nyilvános, amíg a megoldás rendelkezésre nem áll, és a közzétételi tevékenységeket nem koordinálják.

Biztonsági rés kijavítása

A jelentett biztonsági rés kivizsgálása és megerősítése után a Dell aktív támogatásának keretében megkíséreljük a termékekhez a megfelelő megoldás kifejlesztését és ellenőrzését. A megoldás az alábbi formák valamelyikét öltheti:

  • a Dell által csomagolt érintett termék új kiadása;
  • a Dell által biztosított, az érintett termékhez telepíthető javítás;
  • útmutatás a biztonsági rés okozta kockázatok csökkentéséhez szükséges frissítés vagy javítás más gyártótól történő letöltéséhez és telepítéséhez;
  • A Dell által közzétett korrekciós eljárás vagy kerülő megoldás, amely a felhasználókat olyan intézkedésekre utasítja, amelyekkel a biztonsági rések csökkenthetők.

A Dell mindent megtesz annak érdekében, hogy a lehető legrövidebb időn belül elérhetővé tegye a megoldást vagy korrekciós intézkedést. A válaszidők számos tényezőtől függnek, például:

  • A biztonsági rés súlyossága;
  • A biztonsági rés komplexitása;
  • Az érintettség hatóköre;
  • a javításhoz szükséges erőfeszítés/hatás;
  • Termékéletciklus.

Hogyan határozza meg a Dell a biztonsági rések súlyosságát és hatását?

A Dell a Common Vulnerability Scoring System​(angol nyelven)​ szabvány 3.1-es verzióját (CVSS v3.1) használja a Dell termékekben található biztonsági rések jellemzőinek közlésére. A szabványt a FIRST nevű szervezet tartja karban.

A CVSS-pontozás egy numerikus eszközt biztosít a biztonsági rés súlyosságának számszerűsítésére, és több tényezőt vesz figyelembe, beleértve a biztonsági rés kihasználásához szükséges erőfeszítés mértékét, valamint a lehetséges hatást, ha a biztonsági rés kihasználásra kerül. A Dell a biztonsági rés becsült hatását egy numerikus pontszám, egy vektorsztring és a súlyosság minőségi ábrázolása (vagyis kritikus, magas, közepes, alacsony) segítségével foglalja össze az alábbi skála szerint:

Súlyossági szint

CVSS v3.1-pontszám

Kritikus

9,0–10

Magas

7,0–8,9

Közepes

4,0–6,9

Alacsony

0,1–3,9

A Dell azt javasolja, hogy minden ügyfél használja ezeket az információkat a környezetére vonatkozó környezetvédelmi mérőszámok kiszámításához, és pontosan mérje fel az eszközeikre vagy a Dell termékek implementálására vonatkozó kockázatokat.

Felhívjuk figyelmét, hogy nem ritka, hogy a Dell értékelése egy biztonsági résről, a CVSS pontszám és/vagy a vektorsztring eltér a más források által megadottaktól. Eltérés esetén a Dell a Dell biztonsági tájékoztatókban szereplő információkat tekinti mérvadónak.

Külső kommunikáció

A Dell biztonsági tájékoztatókat, közleményeket és cikkeket tesz közzé, hogy tájékoztassa ügyfeleit a termékeit érintő biztonsági résekről.

A biztonsági tájékoztatókat azért adjuk ki, hogy útmutatást vagy utasításokat adjunk arra vonatkozóan, hogy az ügyfelek hogyan védhetik meg magukat, hogyan csökkenthetik és/vagy orvosolhatják a biztonsági réseket, miután a Dell elemezte és azonosította a megoldásokat.

A biztonsági tájékoztatók megfelelő részletességű információt adnak a biztonsági rések hatásának felméréséhez és a potenciálisan érintett termékek kijavításához. Ugyanakkor előfordulhat, hogy nem minden részlet szerepel bennük, ezzel csökkenthető annak valószínűsége, hogy rosszindulatú felhasználók a rendelkezésre bocsátott információkat ügyfeleink kárára használják fel.

A Dell biztonsági tájékoztatói általában a következő információkat tartalmazzák (értelemszerűen):

  • Az általános hatás a súlyosság szöveges meghatározása (pl. kritikus, nagy, közepes és alacsony), amely az összes azonosított biztonsági rés esetében a CVSS súlyossági kvalitatív skálája alapján kiszámított legmagasabb CVSS-alappontszám szerinti;
  • Az érintett termékek és verziók;
  • A CVSS-alappontszám és -vektora az összes azonosított biztonsági réshez;
  • Közös biztonsági rések és veszélyforrások-​(angol nyelven)​ (Common Vulnerabilities and Exposures, CVE) azonosító az összes azonosított biztonsági réshez, hogy az egyes egyedi biztonsági résekre vonatkozó információk megoszthatók legyenek a biztonsági rések kezelésére szolgáló különböző funkciók (mint például a biztonságirés-szkennerek, tárolók és szolgáltatások) között;
  • A biztonsági rés rövid leírása és a kihasználása esetén fellépő potenciális hatás;
  • A megoldással kapcsolatos részletek a frissítés/kerülő megoldás információval;
  • A biztonsági rés kategóriába sorolása:
    • Egyéni kód – a Dell által fejlesztett hardver, szoftver vagy firmware.
    • Külső gyártótól származó komponens – hardver, szoftver vagy firmware, amelyet akár csomagolt termékként terjesztenek, akár más módon szerepelnek Dell termékekben.
  • További referenciák (ha vannak).

Eseti alapon a Dell biztonsági közleményt tehet közzé egy nyilvánosan ismert biztonsági rés tudomásul vétele céljából, és nyilatkozatot vagy egyéb útmutatást adhat arra vonatkozóan, hogy mikor (vagy hol) lesznek elérhetőek további információk.

A Dell biztonsággal kapcsolatos tájékoztató cikkek közzétételével oszthat meg információkat biztonsági témákról, például a következőkről:

  • A biztonságot erősítő új funkciók bevezetése;
  • Termékspecifikus biztonsági konfigurációs útmutatók és gyakorlati tanácsok;
  • Külső gyártóktól származó komponensek biztonsági rései, amelyeket a biztonságirés-kereső eszközök azonosítanak, de amelyek nem használhatók ki az adott terméken belül;
  • Telepítési útmutatás konkrét biztonsági frissítések alkalmazásához;
  • Tájékoztatás arról, hogy nem Dell termékek biztonsági frissítéseire milyen egyidejű és előzetes követelmények vonatkoznak, amelyek kihatással lehetnek a Dell termékekre.

A Dell biztonsági tájékoztatói és közleményei a www.dell.com/support/Security​(angol nyelven)​ címen érhetők el. Hitelesítés esetén ezen a hivatkozáson érhetők el a tájékoztató célú cikkek.

Hogyan tud biztonsági réseket bejelenteni?

Ha bármilyen Dell-termékben biztonsági rést azonosít, kérjük, haladéktalanul jelentse nekünk. A biztonsági rések időben történő azonosítása és jelentése kritikus fontosságú az ügyfeleinknél potenciálisan jelentkező kockázatok enyhítésében. A biztonsági kutatóknak a Dell Bugcrowd webhelyen​(angol nyelven)​ keresztül kell jelenteniük a termékek sebezhetőségét.  A vállalati ügyfelek és partnerek a kapcsolatot a megfelelő technikai támogatási csapattal felvéve jelenthetik be a Dell termékeiben felfedezett esetleges biztonsági problémákat. A technikai támogatási csapat, a megfelelő termékcsapat és a Dell PSIRT együttműködve kezeli a bejelentett probléma megoldását, és megadják az ügyfelek számára a további lépéseket.

Azok az iparági csoportok, gyártók és egyéb felhasználók, akik nem férnek hozzá a műszaki támogatáshoz és/vagy nem kívánnak a hibavadász (bug bounty) programban részt venni, elküldhetik a sebezhetőségi jelentéseket e-mailben közvetlenül a Dell PSIRT-nek. Érzékeny adatok továbbításakor az e-mail-üzeneteket és -mellékleteket titkosítani kell a PGP és egy Dell PSIRT PGP-kulcs segítségével, amely letölthető innen. Amint a körülmények lehetővé teszik, a Dell visszaigazolja a biztonsági résről szóló bejelentését.

A Dell minden esetben törekszik arra, hogy a sebezhetőségi bejelentést a kézhezvételtől számított három (3) munkanapon belül visszaigazolja, és legfeljebb harminc (30) naptári napon belül tájékoztatást ad a javításról.

Potenciális biztonsági rés bejelentésekor kérjük, hogy az alábbi információk közül minél többet megadva segítsen nekünk a bejelentett probléma jellegének és kiterjedésének megértésében:

  • A termék neve és verziója, amely tartalmazza a feltételezett gyengeséget/sebezhetőséget;
  • A probléma reprodukálására szolgáló környezeti vagy rendszerinformációk (pl. termékmodellszám, operációs rendszer verziója és egyéb kapcsolódó információk);
  • Common Weakness Enumeration (CWE), valamint a sebezhetőség típusa és/vagy osztálya (pl. több helyen történő szkriptelés, puffertúlcsordulás, szolgáltatásmegtagadás, távoli kódfuttatás);
  • Lépésenkénti útmutató a biztonsági rés reprodukálásához;
  • Koncepciódemonstráció vagy a biztonsági rést felhasználó kód;
  • A biztonsági rés potenciális hatása.

A kutatói magatartásra vonatkozó irányelvek

Ha egy biztonsági rés hozzáférést biztosít Önnek bizalmas vagy nem nyilvános információkhoz (beleértve harmadik fél adatokat, személyes adatokat vagy a Dell által belső használatúnak, korlátozott használatúnak vagy erősen korlátozott használatúnak jelölt információkat), akkor csak a biztonsági rés Dell felé történő bejelentéséhez minimálisan szükséges mértékben férhet hozzá ezekhez az információkhoz. A Dellnek történő elküldésen kívül az ilyen információkat nem szabad eltárolnia, továbbítania, felhasználnia, megtartania, nyilvánosságra hoznia vagy lemásolnia.

Továbbá ne hajtson végre olyan műveletet, amely negatívan befolyásolhatja a Dell rendszerek integritását vagy rendelkezésre állását – kivéve, ha a tulajdonos kifejezetten engedélyt adott erre. Csak a tények igazolásához szükséges minimálisan szükséges lépéseket tegye meg. Ha a kutatás során teljesítménycsökkenést tapasztal, vagy véletlenül valamilyen szabályszegést vagy fennakadást okoz (például az ügyféladatokhoz vagy szolgáltatási konfigurációkhoz való hozzáférés), kérjük, hagyja abba az automatizált eszközök használatát, és azonnal jelentse az incidenst. Ha bármikor aggályai merülnek fel, vagy nem biztos abban, hogy a biztonsági kutatása összhangban van ezzel a szabályzattal, kérjük, a további lépések előtt érdeklődjön a secure@dell.com címen.

A Dell értesítése egyéb biztonsági problémákról

Vegye igénybe az alább felsorolt megfelelő kapcsolattartókat, és jelentsen más típusú biztonsági problémákat a Dell felé:

Biztonsági probléma

Kapcsolattartó adatai

A Dell.com vagy más online szolgáltatás, webalkalmazás vagy online eszköz biztonsági résének vagy problémájának bejelentése.

Küldjön bejelentést a https://bugcrowd.com/dell-com​(angol nyelven)​ webhelyen a probléma reprodukálására használható, lépésekre lebontott útmutatással.

Személyazonossággal való visszaélés gyanúja vagy a Dell Financial Serviceshez kapcsolódó csalárd tranzakció észlelése esetén.

Lásd a Dell Financial Services Security​(angol nyelven)​ oldalt.

A személyes adatok védelméhez kapcsolódó kérések és kérdések küldése.

Lásd a Dell adatvédelmi nyilatkozatát​(angol nyelven)​.

Korlátozások

A Dell a lehető legnagyobb átláthatóságra törekszik azáltal, hogy a biztonsági tájékoztatókban és a kapcsolódó dokumentációban (például kibocsátási megjegyzésekben, tudásbáziscikkekben vagy GYIK-oldalakon) tájékoztatást nyújt a biztonsági rések kijavítására irányuló erőfeszítésekről.  A Dell nem osztja meg az azonosított biztonsági rések ellenőrzött kihasználási módszereit, sem a koncepciót igazoló kódot. Emellett az iparági gyakorlatnak megfelelően a Dell nem osztja meg a belső biztonsági tesztelésből származó teszteredményeket vagy koncepcióigazolásokat, sem más jellegű privilegizált információkat külső szervezetekkel.

Felhasználói jogosultságok: garancia, támogatás és karbantartás

A Dell ügyfeleinek a garanciával, támogatással és karbantartással kapcsolatos jogosultságait – ideértve a Dell szoftvertermékek biztonsági réseit is – kizárólag a Dell és az egyéni ügyfél között létrejött szerződés szabályozza. A jelen weboldalon szereplő tájékoztatás nem módosítja, nem bővíti és egyéb úton sem módosítja az ügyfél bármely jogát, és nem hoz létre semmilyen további garanciát.

Nyilatkozat

A jelen biztonsági résekre vonatkozó reagálási szabályzat minden része értesítés nélkül módosulhat. A reagálás semmilyen konkrét problémára vagy problémakategória esetében nem garantált. A jelen dokumentumban vagy az itt hivatkozott anyagokban szereplő információkat saját felelősségére használhatja.