Passa al contenuto principale
Esci

Benvenuto in Dell

Il mio account
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti
  • Gestisci i siti, i prodotti e i contatti per livello di prodotto di Dell EMC tramite l'amministrazione della società.
Accedi Crea un account Accesso a Premier Accesso al Partner Program
Contattaci

I tuoi carrelli Dell.com

Policy di risposta Dell alle vulnerabilità

Introduzione

Dell si impegna a collaborare con i clienti per ridurre al minimo i rischi associati alle vulnerabilità della sicurezza dei prodotti. Il nostro obiettivo è fornire ai clienti informazioni tempestive, linee guida e opzioni di attenuazione per risolvere le vulnerabilità. Il team Dell PSIRT (Product Security Incident Response) è responsabile del coordinamento della risposta e della divulgazione delle vulnerabilità relative ai prodotti Dell.

Dell partecipa attivamente a diverse iniziative della community (in inglese), tra cui il FIRST (Forum of Incident Response and Response Teams) (in inglese) e il SAFECode (Software Assurance Forum for Excellence in Code) (in inglese). Le nostre procedure e i nostri processi sono allineati al FIRST PSIRT Services Framework (in inglese), nonché ad altri standard, tra cui ISO/IEC 29147:2018 (in inglese) e ISO/IEC 30111:2019 (in inglese).

Trattamento dei report sulle vulnerabilità

Dell valorizza i partner del settore e i ricercatori per la sicurezza, apprezza tutti i contributi alle iniziative in materia di sicurezza e incoraggia la divulgazione responsabile e coordinata, poiché la sicurezza dei clienti è fondamentale. Il nostro obiettivo è garantire la disponibilità di rimedi e/o strategie di mitigazione al momento della divulgazione di vulnerabilità specifiche di Dell, oltre a collaborare con vendor di terze parti, qualora la correzione lo richiedesse.

Conformemente alla presente policy, tutte le informazioni divulgate relative alle nuove vulnerabilità sono riservate e saranno condivise solo tra Dell e chi ne ha fatto segnalazione, se non sono già pubbliche, fino a che non sarà disponibile il rimedio e non saranno coordinate le attività di divulgazione.

Correzione delle vulnerabilità

Dopo l'analisi e la convalida della vulnerabilità segnalata, ci impegniamo a sviluppare e a certificare un rimedio appropriato per i prodotti con il supporto attivo di Dell. Tale rimedio è costituito da una o più delle seguenti opzioni:

  • la nuova versione del prodotto interessato fornita da Dell;
  • la patch fornita da Dell applicabile sul prodotto interessato;
  • istruzioni per scaricare e installare aggiornamenti o patch di vendor di terze parti, necessari per correggere la vulnerabilità;
  • la procedura correttiva o la soluzione alternativa pubblicate da Dell che indicano agli utenti le misure da adottare per ridurre la vulnerabilità.

Dell si impegna a fornire il rimedio o l'azione correttiva nel tempo ragionevolmente più breve dal punto di vista commerciale. I tempi di risposta dipendono da molti fattori, come:

  • gravità della vulnerabilità;
  • complessità della vulnerabilità;
  • ambito dei componenti interessati;
  • impegno/impatto per la correzione;
  • ciclo di vita del prodotto.

In che modo Dell valuta la gravità e l'impatto delle vulnerabilità

Dell utilizza lo standard Common Vulnerability Scoring System (in inglese), versione 3.1 (CVSS v3.1), per comunicare le caratteristiche delle vulnerabilità dei prodotti Dell. Tale standard è gestito da FIRST.

Il punteggio CVSS fornisce il mezzo numerico per quantificare la gravità della vulnerabilità sulla base di diversi fattori, tra cui l'impegno necessario per sfruttare la vulnerabilità e l'impatto potenziale in caso di violazione. Dell riassume la valutazione dell'impatto della vulnerabilità attraverso un punteggio numerico, una stringa vettoriale e una rappresentazione qualitativa della gravità (ad esempio, critica, alta, media, bassa), secondo la scala riportata di seguito:

Gravità

Punteggio CVSS v3.1

Critica

9,0 – 10

Alta

7,0 – 8,9

Media

4,0 – 6,9

Bassa

0,1 – 3,9

Dell consiglia a tutti i clienti di utilizzare tali informazioni per supportare il calcolo delle metriche ambientali rilevanti per il proprio ambiente, al fine di valutare accuratamente il rischio specifico per gli asset o l'implementazione dei prodotti Dell.

Non è raro che la valutazione della vulnerabilità, il punteggio CVSS e/o la stringa vettoriale forniti da Dell differiscano da quelli di altre fonti. In caso di discordanza, Dell utilizza le informazioni contenute nelle sue avvertenze di sicurezza come fonte autorevole di informazioni.

Comunicazioni esterne

Dell pubblica le avvertenze, le notifiche e gli articoli informativi di sicurezza per comunicare con i clienti sulle vulnerabilità di sicurezza che interessano i propri prodotti.

Le avvertenze di sicurezza sono rilasciate al fine di fornire ai clienti linee guida o istruzioni su come proteggersi, mitigare e/o risolvere le vulnerabilità in seguito all'analisi e all'identificazione delle soluzioni da parte di Dell.

Le avvertenze di sicurezza offrono dettagli sufficienti a valutare l'impatto delle vulnerabilità e correggere i prodotti potenzialmente interessati. Tuttavia, i dettagli completi sono limitati al fine di ridurre la possibilità che utenti malintenzionati sfruttino tali informazioni per scopi illeciti a discapito dei clienti.

Ove applicabile, le avvertenze di sicurezza Dell includono solitamente le seguenti informazioni:

  • l'impatto complessivo, che è la rappresentazione testuale della gravità (critica, elevata, media e bassa) calcolata sulla base della CVSS Qualitative Severity Rating Scale per il punteggio base CVSS più elevato per tutte le vulnerabilità identificate;
  • le versioni e i prodotti interessati;
  • il punteggio di base e il vettore CVSS per tutte le vulnerabilità identificate;
  • l'identificativo CVE (Common Vulnerabilities and Exposures (in inglese)) di tutte le vulnerabilità identificate in modo da condividere le informazioni di ciascuna vulnerabilità specifica in varie funzioni di gestione (ad esempio strumenti di analisi, repository e servizi);
  • una breve descrizione della vulnerabilità e del potenziale impatto se sfruttata;
  • i dettagli sulla correzione con informazioni su aggiornamenti/soluzioni alternative;
  • informazioni sulla categoria di vulnerabilità:
    • Codice proprietario: hardware, software o firmware sviluppato da Dell.
    • Componente di terze parti: hardware, software o firmware distribuiti gratuitamente come pacchetto o altrimenti integrati nei prodotti Dell.
  • riferimenti aggiuntivi, se applicabili.

A seconda dei casi, Dell pubblica notifiche di sicurezza per riconoscere vulnerabilità della sicurezza note e fornire una dichiarazione o altre indicazioni in merito a quando o dove verranno pubblicate ulteriori informazioni.

Talvolta Dell pubblica articoli informativi per condividere informazioni su argomenti relativi alla sicurezza, ad esempio:

  • nuove funzionalità per il rafforzamento della sicurezza introdotte;
  • best practice e guide alla configurazione della sicurezza di prodotti specifici;
  • vulnerabilità della sicurezza nei componenti di terze parti, identificate dagli strumenti di rilevamento delle vulnerabilità, che non sono però utilizzabili all'interno del prodotto specificato;
  • istruzioni di installazione per l'applicazione di aggiornamenti di sicurezza specifici;
  • informazioni relative all'effetto degli aggiornamenti di sicurezza nei co-requisiti e prerequisiti dei prodotti di terze parti che presentano un potenziale impatto sui prodotti Dell.

È possibile accedere alle notifiche e alle avvertenze di sicurezza Dell all'indirizzo www.dell.com/support/security (in inglese). Se autenticati, gli articoli informativi sono disponibili a questo link.

Come segnalare le vulnerabilità di sicurezza

Se individui delle vulnerabilità di sicurezza nei prodotti Dell, ti chiediamo di segnalarcele il prima possibile. L'identificazione e la segnalazione tempestive di queste vulnerabilità sono fondamentali al fine di ridurre i rischi potenziali per i nostri clienti. I ricercatori per la sicurezza sono tenuti a inviare le segnalazioni sulle vulnerabilità dei prodotti tramite il sito di Dell Bugcrowd (in inglese).  I clienti e i partner aziendali e commerciali sono invitati a contattare il proprio team di supporto tecnico per segnalare eventuali problemi di sicurezza riscontrati nei prodotti Dell. Il team di supporto tecnico, il team del prodotto in questione e il team Dell PSIRT collaborano per risolvere il problema segnalato e indicare ai clienti le fasi successive.

I gruppi di settore, i vendor e altri utenti che non hanno accesso al supporto tecnico e/o che non desiderano passare attraverso il programma bug bounty possono inviare le segnalazioni di vulnerabilità direttamente al team Dell PSIRT tramite e-mail. Quando si trasmettono informazioni sensibili, sarebbe opportuno crittografare i messaggi e-mail e gli allegati tramite PGP e con la chiave PGP di Dell PSIRT, disponibile per il download qui. Dell riconoscerà la tua segnalazione sulla divulgazione delle vulnerabilità non appena le circostanze lo consentono.

In ogni caso, Dell si impegna a prendere atto del report informativo sulle vulnerabilità entro tre (3) giorni lavorativi dalla data di ricezione, oltre a fornire aggiornamenti sulla correzione con una frequenza di trenta (30) giorni di calendario o meno.

Per segnalare potenziali vulnerabilità, includi quante più informazioni possibili tra quelle indicate di seguito, affinché possiamo comprendere al meglio la natura e l'ambito del problema:

  • nome e versione del prodotto in cui si presenta la debolezza/vulnerabilità sospetta;
  • informazioni sull'ambiente o sul sistema in cui si è verificato il problema (ad esempio: numero di modello del prodotto, versione del sistema operativo e altre informazioni correlate);
  • CWE (Common Weakness Enumeration), tipo e/o classe di vulnerabilità (ad esempio scripting intersito, overflow del buffer, denial of service, esecuzione di codice remoto);
  • istruzioni dettagliate su come riprodurre la vulnerabilità;
  • codice di proof of concept o exploit;
  • impatto potenziale della vulnerabilità.

Linee guida di condotta dei ricercatori

Se una vulnerabilità ti fornisce l'accesso a informazioni riservate o non pubbliche (tra cui dati di terze parti, dati personali o qualsiasi informazione contrassegnata da Dell come Internal Use, Restricted o High Restricted), devi accedere solo a tali informazioni, quale minimo necessario per segnalare la vulnerabilità a Dell. A parte l'invio a Dell, non devi archiviare, trasferire, utilizzare, conservare, divulgare o copiare tali informazioni.

Inoltre, non è opportuno intraprendere azioni che influiscano sull'integrità o sulla disponibilità dei sistemi Dell, a meno che tu non disponga dell'autorizzazione esplicita del proprietario. È sufficiente il minimo necessario per ottenere un proof of concept. Se noti un peggioramento delle prestazioni durante la ricerca o inavvertitamente sei responsabile di una violazione o un'interruzione (ad esempio, l'accesso ai dati del cliente o alle configurazioni del servizio), interrompi qualsiasi utilizzo di strumenti automatizzati e segnala subito l'accaduto. Se, in qualsiasi momento, sorgono preoccupazioni o dubbi riguardo alla coerenza della ricerca condotta sulla sicurezza rispetto alla presente policy, contatta secure@dell.com prima di proseguire.

Segnalazione a Dell di altri problemi di sicurezza

Per segnalare qualsiasi altro problema di sicurezza a Dell, utilizza le opzioni di contatto appropriate indicate di seguito:

Problema di sicurezza

Informazioni di contatto

Per segnalare vulnerabilità o problemi di sicurezza nel sito Dell.com o in altri servizi online, applicazioni web o proprietà.

Invia un report sul sito https://bugcrowd.com/dell-com (in inglese) con istruzioni dettagliate per riprodurre il problema.

Se sospetti un furto di identità o hai subito una transazione fraudolenta relativa a Dell Financial Services.

Consulta la pagina Sicurezza di Dell Financial Services (in inglese).

Per inviare domande o richieste in materia di privacy.

Consulta la pagina sulla privacy Dell (in inglese).

Limitazioni

Dell si impegna a garantire la massima trasparenza fornendo informazioni sulle attività di correzione delle vulnerabilità nelle avvertenze di sicurezza e nella relativa documentazione, che possono includere note di rilascio, articoli della knowledge base e domande frequenti.  Dell non condivide codici di exploit o proof of concept verificati per le vulnerabilità identificate. Inoltre, in conformità alle prassi di settore, Dell non condivide i risultati dei test o i proof of concept derivanti dai test di sicurezza interni o altri tipi di informazioni riservate con entità esterne.

Diritti del cliente: garanzie, supporto e manutenzione

I diritti dei clienti Dell in termini di garanzie, supporto e manutenzione (incluse le eventuali vulnerabilità presenti nei prodotti software Dell) sono regolati esclusivamente dal contratto applicabile tra Dell e ciascun cliente. Le istruzioni in questa pagina web non modificano né ampliano i diritti dei clienti e non creano garanzie aggiuntive.

Dichiarazione di non responsabilità

Tutti gli aspetti della presente policy di risposta alle vulnerabilità sono soggetti a modifiche senza preavviso. La risposta per qualsiasi problema o classe di problema specifico non è garantita. L'utilizzo delle informazioni contenute nel presente documento o dei materiali collegati è a rischio e pericolo dell'utente.