Dell deltager aktivt i forskellige fællesskabsindsatser, herunder Forum of Incident Response and Response Teams (FIRST)(på engelsk) og Software Assurance Forum for Excellence in Code (SAFECode)(på engelsk). Vores processer og procedurer stemmer overens med FIRST PSIRT Services Framework(på engelsk) samt andre standarder, herunder ISO/IEC 29147:2018(på engelsk) og ISO/IEC 30111:2019(på engelsk).
Dell sætter pris på vores branchepartnere og sikkerhedsforskere, værdsætter alle bidrag til vores sikkerhedsinitiativer og opfordrer til ansvarlig og koordineret offentliggørelse, da vores kunders sikkerhed er en topprioritet. Vores mål er at sikre, at afhjælpning og/eller forebyggende strategier er tilgængelige på tidspunktet for offentliggørelsen af Dell-specifikke sikkerhedsrisici, og at der arbejdes sammen med tredjepartsleverandører, når afhjælpning kræver samarbejde.
I henhold til denne politik anses alle offentliggjorte oplysninger om nye sikkerhedsrisici som fortrolige og deles udelukkende mellem Dell og den rapporterende part, hvis oplysningerne ikke allerede er offentligt tilgængelige, indtil en løsning er tilgængelig, og offentliggørelsen af aktiviteter er blevet koordineret.
Efter undersøgelse og validering af en indberettet sikkerhedsrisiko bestræber vi os på at udvikle og kvalificere en passende løsning til produkter, der er omfattet af aktiv support fra Dell. En afhjælpning kan bestå af et eller flere af følgende:
Hos Dell gør vi vores yderste for at levere afhjælpende foranstaltninger eller fejlretninger så hurtigt som kommercielt rimeligt. Tidslinjer for respons afhænger af mange faktorer, herunder:
Dell bruger standarden Common Vulnerability Score System(på engelsk) version 3.1 (CVSS v3.1) til at formidle egenskaberne for sikkerhedsrisiciene i Dell-produkter. Standarden opdateres af FIRST.
En CVSS-vurdering giver et numerisk middel til at bestemme sikkerhedsrisikoens alvorsgrad og tager højde for flere faktorer, herunder den indsats, der kræves for at udnytte en sikkerhedsrisiko, samt den potentielle effekt, hvis sikkerhedsrisikoen udnyttes. Dell opsummerer en sikkerhedsrisikos vurderede effekt i form af et numerisk resultat, en vektorstreng og en kvalitativ repræsentation af alvorsgraden (dvs. kritisk, høj, mellem, lav) i henhold til nedenstående skala:
Prioritet | CVSS v3.1-resultat |
Kritisk | 9,0-10 |
Høj | 7,0-8,9 |
Mellem | 4,0-6,9 |
Lav | 0,1-3,9 |
Dell anbefaler, at kunder bruger disse oplysninger til at understøtte beregningen af miljømæssige parametre, der kan være relevante for deres miljø, med henblik på nøjagtigt at vurdere den risiko, der er specifik for deres aktiver eller implementering af Dell-produkter.
Bemærk, at det ikke er ualmindeligt, at Dells vurdering af en sikkerhedsrisiko, et CVSS-resultat og/eller en vektorstreng afviger fra dem, der leveres af andre kilder. I tilfælde af en uoverensstemmelse vil Dell prioritere oplysningerne i Dells sikkerhedsbulletiner som den primære informationskilde.
Dell offentliggør sikkerhedsbulletiner, meddelelser og informationsartikler for at oplyse kunderne om sikkerhedsrisici, der påvirker vores produkter.
Sikkerhedsbulletiner udgives for at give vejledning eller instrukser i, hvordan kunderne kan beskytte sig selv, forebygge og/eller afhjælpe sikkerhedsrisici, når Dell har analyseret og identificeret løsninger.
Sikkerhedsbulletiner har til formål at levere tilstrækkelige oplysninger til at gøre det muligt at vurdere påvirkningen af sikkerhedsrisici samt levere løsninger til potentielt berørte produkter. De komplette oplysninger frigives dog muligvis ikke, da vi gerne vil reducere risikoen for, at ondsindede brugere kan drage fordel af oplysningerne og udnytte dem til skade for vores kunder.
Dells sikkerhedsbulletiner indeholder typisk følgende oplysninger, hvor det er relevant:
Dell kan fra sag til sag offentliggøre en sikkerhedsmeddelelse for at anerkende en offentligt kendt sikkerhedsrisiko og udstede en meddelelse eller anden vejledning om, hvornår (eller hvor) yderligere oplysninger vil være tilgængelige.
Dell kan udgive sikkerhedsrelaterede informationsartikler med henblik på at dele oplysninger om sikkerhedsrelaterede emner såsom:
Dells sikkerhedsbulletiner og -meddelelser kan ses på www.dell.com/support/security(på engelsk). Informationsartikler gøres tilgængelige på denne URL-adresse, når de er blevet godkendt.
Hvis du opdager en sikkerhedsrisiko i et Dell-produkt, bedes du indberette det omgående. Rettidig identifikation og indberetning af sikkerhedsrisici er afgørende for at afhjælpe potentielle risici for vores kunder. Sikkerhedsforskere bør indsende rapporter om sikkerhedsrisici i produkter via Dell Bugcrowd-webstedet(på engelsk). Virksomhedskunder og kommercielle kunder samt partnere bør kontakte deres respektive tekniske supportteam for at indberette eventuelle sikkerhedsproblemer, der måtte opdages i Dell-produkter. Det tekniske supportteam, det relevante produktteam og Dell PSIRT arbejder sammen om at løse det indberettede problem og give kunderne information om de næste skridt.
Branchegrupper, leverandører og andre brugere, der ikke har adgang til teknisk support og/eller ikke ønsker at gennemgå fejlfindingsprogrammet, kan indberette sikkerhedsrisici direkte til Dell PSIRT via e-mail. Når der sendes fortrolige oplysninger, bør e-mail og vedhæftede filer krypteres ved hjælp af PGP og en Dell PSIRT PGP-nøgle, som kan downloades her. Dell anerkender din indberetning af sårbarheder, så snart omstændighederne tillader det.
I alle tilfælde bestræber Dell sig på at bekræft modtagelsen din rapport om offentliggørelse af sikkerhedsrisici inden for tre (3) arbejdsdage efter modtagelsen af rapporten. Dell bestræber sig også på at levere opdateringer om afhjælpning med en hyppighed på tredive (30) kalenderdage eller derunder.
Når du indberetter en potentiel sårbarhed, beder vi dig om at medtage så mange af de nedenstående oplysninger som muligt for at hjælpe os til bedre at forstå typen og omfanget af det indberettede problem:
Hvis en sårbarhed giver dig adgang til fortrolige eller ikke-offentlige oplysninger (herunder tredjepartsdata, personoplysninger eller andre oplysninger, der er markeret af Dell som værende til intern brug, begrænset eller meget begrænset), bør du tilgå sådanne i minimalt omfang, og kun i det omfang det er nødvendigt for at indberette sårbarheden til Dell. Med undtagelse af din indsendelse til Dell må du ikke gemme, overføre, bruge, beholde, afsløre eller kopiere sådanne oplysninger.
Du må heller ikke indlade dig på handlinger, der påvirker Dell-systemers integritet eller tilgængelighed, medmindre du har ejerens udtrykkelige tilladelse. Du skal kun gøre det, der er absolut nødvendigt for at få et proof-of-concept. Hvis du konstaterer en forringelse af ydeevnen under din undersøgelse, eller hvis du utilsigtet forårsager en overtrædelse eller afbrydelse (f.eks. adgang til kundedata eller servicekonfigurationer), skal du stoppe enhver brug af automatiske værktøjer og indberette hændelsen med det samme. Hvis du på noget tidspunkt er bekymret for eller ikke ved, om din sikkerhedsundersøgelse er i overensstemmelse med denne politik, skal du rådspørge secure@dell.com, før du fortsætter.
Henvend dig til de relevante kontaktpersoner, der er anført nedenfor, for at indberette andre typer sikkerhedsproblemer til Dell:
Sikkerhedsproblem | Kontaktoplysninger |
Sådan indberetter du en sikkerhedsrisiko eller et problem på Dell.com eller i andre onlinetjenester, webapplikationer eller ejendom. | Send en indberetning på https://bugcrowd.com/dell-com(på engelsk) med trinvis vejledning til at genskabe problemet. |
Hvis du har mistanke om identitetstyveri eller har oplevet en svigagtig transaktion i forbindelse med Dell Financial Services. | Se Dell Financial Services Security(på engelsk). |
Sådan sender du fortrolighedsrelaterede anmodninger eller spørgsmål. | Se Dell Privacy(på engelsk). |
Dell bestræber sig på at være så gennemsigtige som muligt ved at stille oplysninger om afhjælpningsindsatser til rådighed i vores sikkerhedsbulletiner og relateret dokumentation, som kan omfatte produktbemærkninger, vidensbaseartikler og FAQ'er (ofte stillede spørgsmål). Dell deler ikke verificerede udnyttelser eller proof-of-concept-kode for identificerede sikkerhedsrisici. I overensstemmelse med brancheskik deler Dell desuden ikke testresultater eller dokumenterede koncepter fra interne sikkerhedstest eller andre former for insiderviden med eksterne enheder.
Dell-kunders rettigheder angående garantier, support og vedligeholdelse – herunder sikkerhedsrisici i alle Dells softwareprodukter – er udelukkende underlagt den gældende aftale mellem Dell og den enkelte kunde. Udsagnene på denne webside hverken ændrer, udvider eller modificerer på nogen måde forbrugerens rettigheder eller skaber yderligere garantier.
Alle aspekter af denne politik for sikkerhedsrisikorespons kan ændres uden varsel. Der er ikke garanti for svar på specifikke problemer eller problemklasser. Din brug af dette dokuments oplysninger eller materialer, der linkes til heri, sker på egen risiko.