A Dell arra törekszik, hogy minimálisra csökkentse a termékeiben található biztonsági résekhez kapcsolódó kockázatokat. Célunk az, hogy ügyfeleink számára időszerű tájékoztatást, útmutatást és kockázatenyhítési lehetőségeket biztosítsunk a biztonsági rések kezeléséhez. A Dell Product Security Incident Response Team (Dell-termékek biztonsági incidenseire reagáló munkacsoport, Dell PSIRT) felelős a Dell-terméket érintő biztonsági résekkel kapcsolatos reagálás és tájékoztatás összehangolásért.
A Dell aktívan részt vesz számos közösségi tevékenységben(angol nyelven), többek között a Forum of Incident Response and Response Teams (FIRST)(angol nyelven), valamint a Software Assurance Forum for Excellence in Code (SAFECode)(angol nyelven) munkájában. Folyamataink és eljárásaink összhangban vannak a FIRST PSIRT szolgáltatási keretrendszerrel(angol nyelven), valamint egyéb szabványokkal, többek között az ISO/IEC 29147:2018(angol nyelven) és az ISO/IEC 30111:2019(angol nyelven) szabvánnyal.
A Dell nagyra értékeli iparági partnereink és biztonsági kutatóink munkáját, valamint a biztonsági kezdeményezéseinkhez való minden hozzájárulást, és ösztönzi a felelős és összehangolt tájékoztatást, mivel ügyfeleink biztonsága elsődleges fontosságú. Arra törekszünk, hogy a Dell-specifikus biztonsági rések esetén mindig biztosítsunk korrekciós és/vagy kárenyhítő stratégiákat, illetve hogy együttműködjünk külső gyártókkal, amikor a probléma megoldásához az ő közreműködésükre is szükség van.
A jelen szabályzat értelmében az új biztonsági résekkel kapcsolatban nyilvánosságra hozott minden információ bizalmasnak minősül, és csak akkor osztható meg a Dell és a bejelentő fél között, ha az információ még nem nyilvános, amíg a megoldás rendelkezésre nem áll, és a közzétételi tevékenységeket nem koordinálják.
A jelentett biztonsági rés kivizsgálása és megerősítése után a Dell aktív támogatásának keretében megkíséreljük a termékekhez a megfelelő megoldás kifejlesztését és ellenőrzését. A megoldás az alábbi formák valamelyikét öltheti:
A Dell mindent megtesz annak érdekében, hogy a lehető legrövidebb időn belül elérhetővé tegye a megoldást vagy korrekciós intézkedést. A válaszidők számos tényezőtől függnek, például:
A Dell a Common Vulnerability Scoring System(angol nyelven) szabvány 3.1-es verzióját (CVSS v3.1) használja a Dell termékekben található biztonsági rések jellemzőinek közlésére. A szabványt a FIRST nevű szervezet tartja karban.
A CVSS-pontozás egy numerikus eszközt biztosít a biztonsági rés súlyosságának számszerűsítésére, és több tényezőt vesz figyelembe, beleértve a biztonsági rés kihasználásához szükséges erőfeszítés mértékét, valamint a lehetséges hatást, ha a biztonsági rés kihasználásra kerül. A Dell a biztonsági rés becsült hatását egy numerikus pontszám, egy vektorsztring és a súlyosság minőségi ábrázolása (vagyis kritikus, magas, közepes, alacsony) segítségével foglalja össze az alábbi skála szerint:
Súlyossági szint | CVSS v3.1-pontszám |
Kritikus | 9,0–10 |
Magas | 7,0–8,9 |
Közepes | 4,0–6,9 |
Alacsony | 0,1–3,9 |
Felhívjuk figyelmét, hogy nem ritka, hogy a Dell értékelése egy biztonsági résről, a CVSS pontszám és/vagy a vektorsztring eltér a más források által megadottaktól. Eltérés esetén a Dell a Dell biztonsági tájékoztatókban szereplő információkat tekinti mérvadónak.
A Dell biztonsági tájékoztatókat, közleményeket és cikkeket tesz közzé, hogy tájékoztassa ügyfeleit a termékeit érintő biztonsági résekről.
A biztonsági tájékoztatókat azért adjuk ki, hogy útmutatást vagy utasításokat adjunk arra vonatkozóan, hogy az ügyfelek hogyan védhetik meg magukat, hogyan csökkenthetik és/vagy orvosolhatják a biztonsági réseket, miután a Dell elemezte és azonosította a megoldásokat.
A biztonsági tájékoztatók megfelelő részletességű információt adnak a biztonsági rések hatásának felméréséhez és a potenciálisan érintett termékek kijavításához. Ugyanakkor előfordulhat, hogy nem minden részlet szerepel bennük, ezzel csökkenthető annak valószínűsége, hogy rosszindulatú felhasználók a rendelkezésre bocsátott információkat ügyfeleink kárára használják fel.
A Dell biztonsági tájékoztatói általában a következő információkat tartalmazzák (értelemszerűen):
Eseti alapon a Dell biztonsági közleményt tehet közzé egy nyilvánosan ismert biztonsági rés tudomásul vétele céljából, és nyilatkozatot vagy egyéb útmutatást adhat arra vonatkozóan, hogy mikor (vagy hol) lesznek elérhetőek további információk.
A Dell biztonsággal kapcsolatos tájékoztató cikkek közzétételével oszthat meg információkat biztonsági témákról, például a következőkről:
A Dell biztonsági tájékoztatói és közleményei a www.dell.com/support/Security(angol nyelven) címen érhetők el. Hitelesítés esetén ezen a hivatkozáson érhetők el a tájékoztató célú cikkek.
Ha bármilyen Dell-termékben biztonsági rést azonosít, kérjük, haladéktalanul jelentse nekünk. A biztonsági rések időben történő azonosítása és jelentése kritikus fontosságú az ügyfeleinknél potenciálisan jelentkező kockázatok enyhítésében. A biztonsági kutatóknak a Dell Bugcrowd webhelyen(angol nyelven) keresztül kell jelenteniük a termékek sebezhetőségét. A vállalati ügyfelek és partnerek a kapcsolatot a megfelelő technikai támogatási csapattal felvéve jelenthetik be a Dell termékeiben felfedezett esetleges biztonsági problémákat. A technikai támogatási csapat, a megfelelő termékcsapat és a Dell PSIRT együttműködve kezeli a bejelentett probléma megoldását, és megadják az ügyfelek számára a további lépéseket.
Azok az iparági csoportok, gyártók és egyéb felhasználók, akik nem férnek hozzá a műszaki támogatáshoz és/vagy nem kívánnak a hibavadász (bug bounty) programban részt venni, elküldhetik a sebezhetőségi jelentéseket e-mailben közvetlenül a Dell PSIRT-nek. Érzékeny adatok továbbításakor az e-mail-üzeneteket és -mellékleteket titkosítani kell a PGP és egy Dell PSIRT PGP-kulcs segítségével, amely letölthető innen. Amint a körülmények lehetővé teszik, a Dell visszaigazolja a biztonsági résről szóló bejelentését.
A Dell minden esetben törekszik arra, hogy a sebezhetőségi bejelentést a kézhezvételtől számított három (3) munkanapon belül visszaigazolja, és legfeljebb harminc (30) naptári napon belül tájékoztatást ad a javításról.
Potenciális biztonsági rés bejelentésekor kérjük, hogy az alábbi információk közül minél többet megadva segítsen nekünk a bejelentett probléma jellegének és kiterjedésének megértésében:
Ha egy biztonsági rés hozzáférést biztosít Önnek bizalmas vagy nem nyilvános információkhoz (beleértve harmadik fél adatokat, személyes adatokat vagy a Dell által belső használatúnak, korlátozott használatúnak vagy erősen korlátozott használatúnak jelölt információkat), akkor csak a biztonsági rés Dell felé történő bejelentéséhez minimálisan szükséges mértékben férhet hozzá ezekhez az információkhoz. A Dellnek történő elküldésen kívül az ilyen információkat nem szabad eltárolnia, továbbítania, felhasználnia, megtartania, nyilvánosságra hoznia vagy lemásolnia.
Továbbá ne hajtson végre olyan műveletet, amely negatívan befolyásolhatja a Dell rendszerek integritását vagy rendelkezésre állását – kivéve, ha a tulajdonos kifejezetten engedélyt adott erre. Csak a tények igazolásához szükséges minimálisan szükséges lépéseket tegye meg. Ha a kutatás során teljesítménycsökkenést tapasztal, vagy véletlenül valamilyen szabályszegést vagy fennakadást okoz (például az ügyféladatokhoz vagy szolgáltatási konfigurációkhoz való hozzáférés), kérjük, hagyja abba az automatizált eszközök használatát, és azonnal jelentse az incidenst. Ha bármikor aggályai merülnek fel, vagy nem biztos abban, hogy a biztonsági kutatása összhangban van ezzel a szabályzattal, kérjük, a további lépések előtt érdeklődjön a secure@dell.com címen.
Vegye igénybe az alább felsorolt megfelelő kapcsolattartókat, és jelentsen más típusú biztonsági problémákat a Dell felé:
Biztonsági probléma | Kapcsolattartó adatai |
A Dell.com vagy más online szolgáltatás, webalkalmazás vagy online eszköz biztonsági résének vagy problémájának bejelentése. | Küldjön bejelentést a https://bugcrowd.com/dell-com(angol nyelven) webhelyen a probléma reprodukálására használható, lépésekre lebontott útmutatással. |
Személyazonossággal való visszaélés gyanúja vagy a Dell Financial Serviceshez kapcsolódó csalárd tranzakció észlelése esetén. | Lásd a Dell Financial Services Security(angol nyelven) oldalt. |
A személyes adatok védelméhez kapcsolódó kérések és kérdések küldése. | Lásd a Dell adatvédelmi nyilatkozatát(angol nyelven). |
A Dell a lehető legnagyobb átláthatóságra törekszik azáltal, hogy a biztonsági tájékoztatókban és a kapcsolódó dokumentációban (például kibocsátási megjegyzésekben, tudásbáziscikkekben vagy GYIK-oldalakon) tájékoztatást nyújt a biztonsági rések kijavítására irányuló erőfeszítésekről. A Dell nem osztja meg az azonosított biztonsági rések ellenőrzött kihasználási módszereit, sem a koncepciót igazoló kódot. Emellett az iparági gyakorlatnak megfelelően a Dell nem osztja meg a belső biztonsági tesztelésből származó teszteredményeket vagy koncepcióigazolásokat, sem más jellegű privilegizált információkat külső szervezetekkel.
A Dell ügyfeleinek a garanciával, támogatással és karbantartással kapcsolatos jogosultságait – ideértve a Dell szoftvertermékek biztonsági réseit is – kizárólag a Dell és az egyéni ügyfél között létrejött szerződés szabályozza. A jelen weboldalon szereplő tájékoztatás nem módosítja, nem bővíti és egyéb úton sem módosítja az ügyfél bármely jogát, és nem hoz létre semmilyen további garanciát.
A jelen biztonsági résekre vonatkozó reagálási szabályzat minden része értesítés nélkül módosulhat. A reagálás semmilyen konkrét problémára vagy problémakategória esetében nem garantált. A jelen dokumentumban vagy az itt hivatkozott anyagokban szereplő információkat saját felelősségére használhatja.