Ga naar hoofdinhoud
Uitloggen

Welkom bij Dell

Mijn account
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen
  • Beheer uw Dell EMC locaties, producten en contactpersonen op productniveau met Company Administration.
Inloggen Een account maken Inloggen bij Premier Aanmelden voor partnerprogramma
Contact

Uw Dell.com-winkelwagentjes

Dell's beleid voor reageren op risico's

Inleiding

Dell streeft ernaar om onze klanten te helpen bij het minimaliseren van de risico's die zich voordoen bij beveiligingslekken in onze producten. Ons doel is om klanten tijdig van informatie, hulp en oplossingen te voorzien om beveiligingslekken aan te pakken. Het Dell Product Security Incident Response Team (Dell PSIRT) is verantwoordelijk voor het coördineren van de reactie op en het openbaar bekendmaken van productbeveiligingslekken die invloed hebben op Dell producten.

Dell neemt actief deel aan verschillende community-inspanningen(in het Engels), waaronder het Forum of Incident Response and Response Teams (FIRST)(in het Engels) en het Software Assurance Forum for Excellence in Code (SAFECode)(in het Engels). Onze processen en procedures zijn afgestemd op het FIRST PSIRT Services Framework(in het Engels), evenals andere standaarden zoals ISO/IEC 29147:2018(in het Engels) en ISO/IEC 30111:2019(in het Engels).

Meldingen van beveiligingslekken afhandelen

Dell is blij met onze industriepartners en beveiligingsonderzoekers, is blij met alle bijdragen aan onze beveiligingsinitiatieven en stimuleert verantwoordelijke en gecoördineerde openbaarmaking omdat de beveiliging van onze klanten van het grootste belang is. We willen ervoor zorgen dat er oplossingen en/of beperkingsstrategieën beschikbaar zijn wanneer Dell-specifieke beveiligingslekken bekend worden gemaakt, en we willen samenwerken met externe leveranciers wanneer dit nodig is om een lek te herstellen.

In overeenstemming met dit beleid wordt alle informatie over nieuwe beveiligingslekken die bekend wordt gemaakt, beschouwd als vertrouwelijk. Deze informatie wordt uitsluitend tussen Dell en de meldende partij gedeeld als de informatie nog niet algemeen bekend is voordat er een oplossing beschikbaar is en de openbaarmaking gecoördineerd kan worden.

Beveiligingslekken verhelpen

Wij trachten om na het onderzoeken en valideren van een gemeld beveiligingsprobleem een juiste oplossing te ontwikkelen en classificeren voor producten die actief ondersteund worden door Dell. Mogelijke oplossingen zijn onder andere:

  • Een nieuwe uitvoering van het betreffende product, geleverd door Dell;
  • Een door Dell ontwikkelde patch die op het betreffende product kan worden geïnstalleerd;
  • Instructies voor het downloaden en installeren van een update of patch van een externe leverancier die vereist is om het beveiligingslek aan te pakken;
  • Een corrigerende maatregel of omzeiling van het probleem die door Dell is gepubliceerd, die gebruikers informeert welke maatregelen ze kunnen nemen om het beveiligingslek te vermijden.

Dell streeft ernaar om de oplossing of corrigerende maatregel zo snel als redelijkerwijs mogelijk is beschikbaar te stellen. De reactietijd is afhankelijk van veel factoren, zoals:

  • Prioriteit van het beveiligingslek;
  • Complexiteit van het beveiligingslek;
  • Omvang van de impact;
  • Inspanningen voor/gevolgen van het herstel;
  • Productlevenscyclus.

Hoe Dell de ernst en de impact van beveiligingslekken beoordeelt

Dell gebruikt de Common Vulnerability Score System(in het Engels) norm, versie 3.1 (CVSS v3.1) om informatie over beveiligingslekken in Dell producten te communiceren. De norm wordt bijgehouden door FIRST.

De CVSS-score biedt een numerieke manier om de ernst van het beveiligingslek te kwantificeren, en houdt rekening met verschillende factoren, waaronder de mate van inspanning die nodig is om een beveiligingslek te misbruiken, evenals de potentiële impact die een dergelijk misbruik van het beveiligingslek kan hebben. Dell vat de beoordeelde impact van een beveiligingslek samen met behulp van een numerieke score, vectorreeks en kwalitatieve weergave van de ernst (d.w.z. Kritiek, Hoog, Gemiddeld, Laag), op basis van de onderstaande schaal:

Ernst

CVSS v3.1-score

Kritiek

9,0 – 10

Hoog

7,0 – 8,9

Gemiddeld

4,0 – 6,9

Laag

0,1 – 3,9

Dell raadt alle klanten aan deze informatie te gebruiken om de statistieken te bepalen die relevant kunnen zijn voor hun omgeving, om zo de risico's die specifiek zijn voor hun bedrijfsmiddelen of implementatie van Dell producten nauwkeurig te kunnen beoordelen.

Houd er rekening mee dat het niet ongebruikelijk is dat de beoordeling van Dell van een beveiligingslek, CVSS-score en/of Vector String verschilt van de beoordeling van andere bronnen. In geval van een dergelijk verschil gebruikt Dell de informatie in de Dell beveiligingsadviezen als bindende informatiebron.

Externe communicatie

Dell publiceert beveiligingsadviezen, kennisgevingen en artikelen om te klanten te informeren over beveiligingslekken die van invloed zijn op onze producten.

Beveiligingsadviezen worden uitgebracht om richtlijnen of instructies te geven over hoe klanten zichzelf kunnen beschermen en beveiligingslekken kunnen beperken en/of herstellen zodra Dell oplossingen heeft geanalyseerd en in kaart heeft gebracht.

Beveiligingsaanbevelingen zijn bedoeld om voldoende gegevens te bieden, zodat klanten de impact van beveiligingslekken kunnen inschatten en problemen met mogelijk getroffen producten kunnen oplossen. Echter wordt mogelijk niet alle informatie openbaar gemaakt om te voorkomen dat kwaadwillige personen hiervan misbruik maken om klanten schade toe te brengen.

Normaal gesproken bevatten de beveiligingsaanbevelingen van Dell, waar nodig, de volgende informatie:

  • De algehele impact, een tekstuele weergave van de ernst (die kritiek, hoog, gemiddeld of laag is) berekend met behulp van de CVSS-schaal van kwalitatieve ernst voor de hoogste CVSS-basisscore van alle geïdentificeerde kwetsbaarheden;
  • De getroffen producten en versies;
  • De basisscore en vector van CVSS voor alle geïdentificeerde kwetsbaarheden.
  • De identificatiecode van alle geïdentificeerde beveiligingslekken volgens de Common Vulnerabilities and Exposures(in het Engels) (CVE), zodat gegevens over elk specifieke beveiligingslek kunnen worden gedeeld op meerdere platformen die beveiligingslekken beheren (bijv. hulpmiddelen als beveiligingsscanners, repository's en services).
  • Een beknopte beschrijving van het beveiligingslek en de mogelijke impact ervan;
  • Details van de oplossing met informatie over updates/workarounds;
  • Informatie over de kwetsbaarheidscategorie:
    • Bedrijfseigen code: door Dell ontwikkelde hardware, software of firmware.
    • Component van derden: hardware, software of firmware die vrij wordt gedistribueerd doordat deze bij het Dell product verpakt is, of anderszins in een Dell product is ingebouwd;
  • Aanvullende verwijzingen, indien van toepassing.

Per geval kan Dell een beveiligingsbericht publiceren om een openbaar bekend beveiligingsprobleem te erkennen en een verklaring of ander richtlijnen te geven met betrekking tot wanneer (of waar) aanvullende informatie beschikbaar zal komen.

Dell kan informatieartikelen over beveiliging publiceren om informatie te delen over beveiligingsonderwerpen, zoals:

  • Nieuwe functies om de beveiliging te versterken die zijn geïntroduceerd;
  • Productspecifieke beveiligingsconfiguratiehandleidingen en best practices;
  • Beveiligingsproblemen in onderdelen van andere leveranciers, geïdentificeerd door hulpprogramma's voor het scannen van kwetsbaarheden, maar die niet kunnen worden misbruikt vanuit het opgegeven product;
  • Installatie-instructies voor het toepassen van specifieke beveiligingsupdates;
  • Informatie over het effect van beveiligingsupdates in voorwaarden en tevens vereisten voor niet-Dell producten die gevolgen kunnen hebben voor Dell producten.

Dell beveiligingswaarschuwingen en -meldingen zijn beschikbaar op www.Dell.com/support/Security(in het Engels). Informatieve artikelen zijn, indien geverifieerd, beschikbaar via deze koppeling.

Een beveiligingslek melden

Als u een beveiligingsprobleem opmerkt in een product van Dell, vragen we u dit zo snel mogelijk aan ons te melden. Door beveiligingsproblemen tijdig te melden en identificeren, kunnen potentiële risico's voor onze klanten worden voorkomen. Beveiligingsonderzoekers dienen productbeveiligingsrapporten te versturen via de Dell Bugcrowd site(in het Engels).  Klanten en partners van enterprise- en commerciële producten kunnen contact opnemen met hun respectievelijke technische supportteam om beveiligingsproblemen in Dell producten te melden. Het technische supportteam, het productteam van het getroffen product en de Dell PSIRT werken vervolgens samen om het gerapporteerde probleem aan te pakken en klanten te helpen bij het treffen van de juiste maatregelen.

Branchegroepen, leveranciers en andere gebruikers die geen toegang hebben tot technische support en/of het bug bounty-programma niet willen doorlopen, kunnen beveiligingsrapporten rechtstreeks via e-mail versturen naar de Dell PSIRT. E-mailberichten en bijlagen moeten bij het verzenden van gevoelige informatie worden versleuteld met behulp van PGP en een Dell PSIRT PGP-sleutel, die u hier kunt downloaden. Dell zal de ontvangst van uw rapport over het openbaar maken van beveiligingslekken bevestigen zodra de omstandigheden dit toestaan.

In alle gevallen zal Dell ernaar streven om uw rapport over het openbaar maken van beveiligingslekken te bevestigen binnen drie (3) werkdagen na ontvangst en updates te leveren over herstel met een frequentie van dertig (30) kalenderdagen of minder.

Bij het melden van een potentieel beveiligingslek willen we u vragen zoveel mogelijk van de gegevens hieronder in te vullen, zodat we de aard en omvang van het gemelde probleem beter kunnen bepalen:

  • Productnaam en -versie waarop de vermoedelijke zwakke plekken/beveiligingslekken zijn aangetroffen;
  • Omgevings- of systeeminformatie waaronder het probleem is gereproduceerd (bijvoorbeeld: productmodelnummer, besturingssysteemversie en andere gerelateerde informatie);
  • Common Weakness Enumeration (CWE) en type en/of klasse beveiligingslek (bijv. cross-site scripting, bufferoverschrijding, denial of service, uitvoering van externe code);
  • Stapsgewijze instructies om het beveiligingslek te reproduceren;
  • Proof-of-concept of de exploit-code;
  • Potentiële impact van het beveiligingslek.

Richtlijnen voor gedrag van onderzoekers

Als een beveiligingslek u toegang biedt tot vertrouwelijke of niet-openbare informatie (met inbegrip van gegevens van derden, persoonsgegevens of informatie die door Dell als intern gebruik, beperkt of hoogst beperkt wordt gemarkeerd), dient u alleen toegang te krijgen tot dergelijke informatie die minimaal noodzakelijk is om het beveiligingslek aan Dell te melden. Afgezien van uw indiening bij Dell, mag u dergelijke informatie niet opslaan, overdragen, gebruiken, bewaren, openbaar maken of kopiëren.

U mag ook geen handelingen uitvoeren die van invloed zijn op de integriteit of beschikbaarheid van Dell systemen, tenzij u de expliciete toestemming van de eigenaar hebt. Doe alleen het minimale dat nodig is om een proof-of-concept te verkrijgen. Als u tijdens uw onderzoek prestatieafname opmerkt of per ongeluk een schending of onderbreking veroorzaakt (zoals toegang tot klantgegevens of serviceconfiguraties), moet u elk gebruik van geautomatiseerde tools stoppen en het incident onmiddellijk melden. Als u zich op enig moment zorgen maakt of niet zeker weet of uw beveiligingsonderzoek in overeenstemming is met dit beleid, neem dan contact op met secure@dell.com voordat u verdergaat.

Dell op de hoogte stellen van overige beveiligingsproblemen

Gebruik de onderstaande contactpersonen om andere soorten beveiligingsproblemen aan Dell te melden:

Beveiligingsprobleem

Contactgegevens

Een beveiligingslek of -probleem met betrekking tot Dell.com of een andere online service, de webtoepassing of een product melden;

Dien een rapport in op https://bugcrowd.com/dell-com(in het Engels) met stapsgewijze instructies over hoe we het probleem kunnen reproduceren.

Als u identiteitsdiefstal vermoedt of een frauduleuze transactie hebt ondervonden met betrekking tot Dell Financial Services.

Zie Beveiliging Dell Financial Services(in het Engels).

Een privacygerelateerd verzoek indienen of een vraag stellen.

Zie Dell Privacy(in het Engels).

Beperkingen

Dell streeft ernaar zo transparant mogelijk te zijn door informatie te verstrekken over het herstel van kwetsbaarheden in ons beveiligingsadvies en gerelateerde documentatie, waaronder releaseopmerkingen, Knowledge Base-artikelen en FAQ’s (veelgestelde vragen).  Dell deelt geen geverifieerde exploits of proof-of-concept-code voor geïdentificeerde beveiligingslekken. Daarnaast deelt Dell, in overeenstemming met de praktijken in de branche, geen testresultaten of proof-of-concepts van interne beveiligingstests of andere soorten vertrouwelijke informatie met externe entiteiten.

Rechten van de klant: garanties, support en onderhoud

De rechten van klanten met betrekking tot garantie, support en onderhoud (waaronder beveiligingslekken in softwareproducten van Dell) zijn uitsluitend gebaseerd op de toepasselijke overeenkomst tussen Dell en elke individuele klant. De verklaringen op deze webpagina zijn geen aanpassing, uitbreiding, of anderszins een wijziging van de klantenrechten, noch dienen zij als aanvullende garanties.

Disclaimer

Alle aspecten van dit beleid met betrekking tot reactie op kwetsbaarheden kunnen zonder voorafgaande kennisgeving worden gewijzigd. Berichtgeving wordt niet gegarandeerd voor een specifiek probleem of klasse van problemen. Uw gebruik van de informatie in het document of de materialen die hieraan zijn gekoppeld, is op eigen risico.