Dell participă activ la diverse eforturi ale comunității (în limba engleză), printre care se numără Forum of Incident Response and Response Teams (FIRST) (Forumul pentru echipele de securitate și de răspuns la incidente) (în limba engleză) și Software Assurance Forum for Excellence in Code (SAFECode) (Forumul Software Assurance pentru excelența în domeniul programării) .(în limba engleză) Procesele și procedurile noastre se aliniază cu Cadrul de servicii FIRST PSIRT (în limba engleză), precum și cu alte standarde, inclusiv ISO/IEC 29147:2018 (în limba engleză) și ISO/IEC 30111:2019 (în limba engleză).
Dell îi prețuiește pe partenerii noștri din domeniu și pe cercetătorii în domeniul securității, apreciază toate contribuțiile la inițiativele noastre de securitate și încurajează divulgarea responsabilă și coordonată, deoarece securitatea clienților noștri este de maximă importanță. Scopul nostru este să ne asigurăm că sunt disponibile soluții de remediere și/sau strategii de reducere a riscurilor în momentul divulgării vulnerabilităților specifice Dell și să colaborăm cu furnizorii terți atunci când remedierea necesită colaborarea acestora.
Conform acestei politici, toate informațiile divulgate despre noile vulnerabilități sunt considerate confidențiale și vor fi partajate doar între Dell și partea care efectuează raportarea dacă informațiile nu sunt deja publice până când este disponibilă o soluție de remediere, iar activitățile de divulgare sunt coordonate.
După ce investigăm și validăm o vulnerabilitate raportată, încercăm să dezvoltăm și să calificăm soluția adecvată pentru produsele aflate sub asistență activă de la Dell. O soluție de remediere poate lua una sau mai multe dintre următoarele forme:
Dell depune toate eforturile pentru a oferi soluția sau măsurile corective în cel mai scurt timp rezonabil din punct de vedere comercial. Intervalul de răspuns depinde de mulți factori, cum ar fi:
Dell utilizează standardul sistemului comun de evaluare a vulnerabilității (în limba engleză), versiunea 3.1 (CVSS v3.1) pentru a transmite caracteristicile vulnerabilităților din produsele Dell. Standardul este menținut de FIRST.
Scorul CVSS oferă o metodă numerică de a cuantifica gravitatea vulnerabilității și ia în considerare mai mulți factori, printre care nivelul de efort necesar pentru a exploata o vulnerabilitate, precum și potențialul impact în cazul exploatării vulnerabilității. Dell va analiza impactului evaluat al unei vulnerabilități printr-un scor numeric, un șir de vectori și o reprezentare calitativă a gravității (de exemplu, una dintre opțiunile Critică, Ridicată, Medie, Scăzută), conform scalei furnizate mai jos:
Nivel de gravitate | Scor CVSS v3.1 |
Critică | 9,0 – 10 |
Înaltă | 7,0 – 8,9 |
Medie | 4,0 – 6,9 |
Scăzută | 0,1 – 3,9 |
Dell recomandă tuturor clienților să utilizeze aceste informații pentru a susține calculul parametrilor de mediu care ar putea fi relevanți pentru mediul lor, pentru a evalua corespunzător riscurile specifice activelor acestora sau implementării produselor Dell.
Rețineți că nu este ieșit din comun ca evaluarea de către Dell a unei vulnerabilități, a scorului CVSS și/sau a șirului de vectori să difere de cele furnizate de alte surse. În cazul unei discrepanțe, Dell va utiliza informațiile cuprinse în atenționările de securitate Dell ca sursă autorizată de informații.
Dell publica atenționări de securitate, notificări și articole informative pentru a comunica cu clienții despre vulnerabilitățile de securitate care afectează produsele noastre.
Atenționările de securitate sunt publicate pentru a oferi îndrumări sau instrucțiuni privind modul în care clienții se pot proteja, pot reduce riscurile și/sau pot remedia vulnerabilitățile odată ce Dell analizează și identifică soluțiile.
Atenționările de securitate sunt menite să ofere detalii suficiente pentru a evalua impactul vulnerabilităților și pentru a remedia produsele potențial afectate. Cu toate acestea, detaliile complete pot fi limitate pentru a reduce probabilitatea ca actorii rău intenționați să profite de informațiile oferite și să le exploateze în detrimentul clienților noștri.
Atenționările de securitate Dell vor include de obicei următoarele informații, după caz:
De la caz la caz, Dell poate publica o notificare de securitate pentru a recunoaște o vulnerabilitate de securitate cunoscută în mod public și pentru a oferi o declarație sau alte îndrumări privind momentul (sau locul) în care vor fi disponibile informații suplimentare.
Dell poate publica articole de informare legate de securitate pentru a partaja informații despre anumite subiecte legate de securitate, printre care se numără:
Atenționările și notificările de securitate Dell sunt disponibile la adresa www.Dell.com/support/Security. Articolele informative sunt disponibile la acest link când sunt autentificate.
Dacă identificați o vulnerabilitate de securitate în orice produs Dell, vă rugăm să raportați acest lucru cât mai curând posibil. Identificarea și raportarea în timp util ale vulnerabilităților de securitate sunt esențiale pentru reducerea riscurilor potențiale pentru clienții noștri. Cercetătorii în domeniul securității trebuie să prezinte rapoarte de vulnerabilitate prin site-ul Dell Bugcrowd (în limba engleză). Partenerii și clienții de produse din gama comercială și pentru întreprinderi trebuie să contacteze echipa de asistență tehnică aferentă pentru a raporta orice probleme de securitate descoperite în produsele Dell. Echipa de asistență tehnică, echipa de produs adecvată și echipa Dell PSIRT vor colabora pentru a aborda problema raportată și pentru a le oferi clienților pașii următori.
Grupurile din domeniu, furnizorii și alți utilizatori care nu au acces la Asistență tehnică și/sau nu doresc să treacă prin programul de recompensare pentru erori pot trimite rapoarte de vulnerabilitate direct la PSIRT Dell prin e-mail. Mesajele de e-mail și atașările trebuie să fie criptate, la transmiterea informațiilor sensibile, cu ajutorul PGP și al unei chei Dell PSIRT PGP, care este disponibilă pentru descărcare de aici. Dell va confirma raportul dvs. de divulgare a vulnerabilităților de îndată ce circumstanțele vor permite acest lucru.
În toate cazurile, Dell va depune toate eforturile să confirme raportul dvs. de divulgare a vulnerabilităților în termen de trei (3) zile lucrătoare de la primire și să furnizeze actualizări privind remedierea cu o frecvență de cel mult treizeci (30) de zile calendaristice.
Atunci când raportați o vulnerabilitate potențială, vă rugăm să includeți cât mai multe dintre informațiile de mai jos posibil pentru a ne ajuta să înțelegem mai bine natura și sfera de aplicare a problemei raportate:
Dacă o vulnerabilitate vă oferă acces la informații confidențiale sau nepublice (inclusiv la date terțe, la date cu caracter personal sau la orice informații marcate de Dell drept Utilizare internă, Acces restricționat sau Acces extrem de restricționat), trebuie să accesați doar informațiile necesare ca nivel minim pentru a raporta vulnerabilitatea către Dell. În afară de trimiterea către Dell, nu trebuie să stocați, să transferați, să utilizați, să păstrați, să divulgați sau să copiați astfel de informații.
De asemenea, nu trebuie să luați măsuri care să afecteze integritatea sau disponibilitatea sistemelor Dell, cu excepția cazului în care dețineți permisiunea explicită a proprietarului. Faceți doar minimul necesar pentru a obține validarea conceptului. Dacă observați degradarea performanței în timpul cercetărilor sau cauzați accidental o încălcare sau o perturbare (cum ar fi accesarea datelor clienților sau a configurațiilor de servicii), încetați orice utilizare a instrumentelor automatizate și raportați imediat incidentul. Dacă, în orice moment, aveți preocupări sau nu sunteți sigur dacă cercetarea dvs. în domeniul securității este în concordanță cu această politică, vă rugăm să cereți mai multe informații de la adresa secure@dell.com înainte de a continua.
Utilizați persoanele de contact corespunzătoare listate mai jos pentru a raporta alte tipuri de probleme de securitate către Dell:
Problemă de securitate | Informații de contact |
Pentru a raporta o vulnerabilitate sau o problemă de securitate din Dell.com sau din alt serviciu online, aplicație web sau proprietate. | Trimiteți un raport la https://bugcrowd.com/dell-com (în limba engleză) cu instrucțiuni tip pas cu pas pentru a reproduce problema. |
Dacă suspectați furtul de identitate sau ați fost victima unei tranzacții frauduloase legate de Dell Financial Services. | Consultați pagina de securitate pentru Dell Financial Services (în limba engleză). |
Pentru a trimite solicitări sau întrebări legate de confidențialitate. | Consultați pagina de confidențialitate Dell (în limba engleză). |
Compania Dell încearcă să fie cât mai transparentă posibil prin furnizarea de informații despre eforturile de remediere a vulnerabilităților în recomandarea de securitate și în documentația asociată, care pot include note privind versiunea, articole din baza de cunoștințe și întrebări frecvente. Dell nu partajează exploatări verificate sau codul de validare a conceptului pentru vulnerabilitățile identificate. În plus, în conformitate cu practicile din domeniu, Dell nu partajează cu entități externe rezultatele testelor sau validarea conceptului obținută din testele de securitate internă sau alte tipuri de informații privilegiate.
Drepturile clienților Dell privind garanțiile, asistența și întreținerea – inclusiv vulnerabilitățile din orice produs software Dell – sunt reglementate exclusiv de acordul aplicabil între Dell și clientul individual. Declarațiile de pe această pagină web nu modifică, nu extind și nu modifică în alt mod drepturile clientului, nici nu creează garanții suplimentare.
Toate aspectele acestei Politici de răspuns la vulnerabilități pot fi modificate fără notificare. Nu se garantează răspunsul pentru nicio problemă specifică sau pentru anumite categorii de probleme. Utilizarea de către dvs. a informațiilor din acest document sau a materialelor legate de prezentul document se realizează pe propriul dvs. risc.