Dell, müşterilerimizin ürünlerimizdeki güvenlik açıklarıyla ilişkili riskleri minimum düzeye düşürmesine yardımcı olmak için çalışmaktadır. Hedefimiz, güvenlik açıklarıyla ilgilenmeleri için müşterilere doğru zamanda gerekli bilgileri, rehberliği ve riski azaltma seçeneklerini sağlamaktır. Dell Ürün Güvenliği Olay Yanıt Ekibi (Dell PSIRT), Dell ürünlerini etkileyen tüm ürün güvenlik açıklarına verilen yanıtları ve bunların ortaya çıkarılmasını koordine etmekten sorumludur.
Dell, Olay Müdahale ve Müdahale Ekipleri Forumu (FIRST)(İngilizce) ve Kodda Mükemmellik için Yazılım Güvencesi Forumu (SAFECode)(İngilizce) dahil olmak üzere çeşitli topluluk çalışmalarına(İngilizce) aktif olarak katılır. Süreçlerimiz ve prosedürlerimiz, FIRST PSIRT Hizmetleri Çerçevesinin(İngilizce) yanı sıra ISO/IEC 29147:2018(İngilizce) ve ISO/IEC 30111:2019(İngilizce) dahil olmak üzere diğer standartlarla uyumludur.
Dell, sektör ortaklarımıza ve güvenlik araştırmacılarına değer verir, güvenlik girişimlerimize yapılan tüm katkıları takdir eder ve müşterilerimizin güvenliği çok önemli olduğundan sorumlu ve koordineli açıklamayı teşvik eder. Hedefimiz, Dell'e özgü güvenlik açıklarının ifşa edilmesi sırasında çözümlerin ve/veya hafifletici stratejilerin mevcut olmasını sağlamak ve düzeltme, işbirliğini gerektirdiğinde üçüncü taraf satıcılarla çalışmaktır.
Bu politikaya göre, yeni güvenlik açıkları hakkında ifşa edilen tüm bilgiler gizli kabul edilir ve yalnızca bilgi halihazırda kamuya açık değilse, bir çözüm bulunana ve ifşa faaliyetleri koordine edilene kadar Dell ile rapor eden taraf arasında paylaşılacaktır.
Bildirilen güvenlik açığı incelenip doğrulandıktan sonra, Dell'in etkin desteği kapsamında olan ürünler için uygun bir düzeltme geliştirmeye ve bu düzeltmeyi yeterli hale getirmeye çalışırız. Düzeltme, şu biçimlerden birinde veya birden çoğunda olabilir:
Dell ticari olarak makul olan en kısa zamanda bir düzeltme veya düzeltici eylem sağlamak için her türlü çabayı gösterir. Yanıt zaman çizelgesi aşağıdakiler gibi birçok faktöre bağlıdır:
Dell, Dell ürünlerindeki güvenlik açıklarının özelliklerini iletmek için Yaygın Güvenlik Açığı Puanlama Sistemi(İngilizce) standardı sürüm 3.1'i (CVSS v3.1) kullanır. Standart FIRST tarafından korunur.
CVSS puanlaması, güvenlik açığının ciddiyetini ölçmek için sayısal bir araç sağlar ve bir güvenlik açığından yararlanmak için gereken çaba düzeyi ve güvenlik açığından yararlanılması durumunda olası etki dahil olmak üzere çeşitli faktörleri göz önünde bulundurur. Dell, bir güvenlik açığının değerlendirilen etkisini sayısal bir puan, vektör dizisi ve önem derecesinin niteliksel temsili (yani, Kritik, Yüksek, Orta, Düşük'ten biri) aracılığıyla aşağıda sağlanan ölçeğe göre özetleyecektir:
Önem | CVSS v3.1 Puanı |
Kritik | 9,0 – 10 |
Yüksek | 7,0 – 8,9 |
Orta | 4,0 – 6,9 |
Düşük | 0,1 – 3,9 |
Dell'in bir güvenlik açığı, CVSS puanı ve/veya Vektör Dizisi değerlendirmesinin diğer kaynaklar tarafından sağlananlardan farklı olmasının alışılmadık bir durum olmadığını lütfen unutmayın. Bir tutarsızlık olması durumunda, Dell, güvenilir bilgi kaynağı olarak Dell Güvenlik Önerilerinde yer alan bilgileri kullanacaktır.
Dell, ürünlerimizi etkileyen güvenlik açıkları hakkında müşterilerle iletişim kurmak için güvenlik tavsiyeleri, bildirimler ve bilgi makaleleri yayınlar.
Dell, çözümleri analiz edip belirledikten sonra, müşterilerin kendilerini nasıl koruyabilecekleri, güvenlik açıklarını nasıl azaltabilecekleri ve/veya düzeltebilecekleri konusunda rehberlik veya yönergeler sağlamak için güvenlik önerileri yayımlanır.
Güvenlik Önerileri, güvenlik açıklarının etkisini değerlendirmek ve etkilenme olasılığı olan ürünlere çözüm getirmek için yeterli ayrıntının sağlanmasına yöneliktir. Öte yandan, kötü niyetli aktörlerin sağlanan bilgilerden yararlanma ve bu bilgileri kötüye kullanarak müşterilerimize zarar verme olasılığını azaltmak için tüm ayrıntılara sınırlama getirilebilir.
Dell Güvenlik Önerileri tipik olarak (varsa) aşağıdaki bilgileri içerir:
Bazı özel durumlarda Dell, kamunun bilgisi dahilindeki bir güvenlik açığını kabul etmek ve ek bilgilerin ne zaman (veya nerede) sunulacağına ilişkin bir bildirim veya başka yönergeler sağlamak üzere bir Güvenlik Bildirimi yayımlayabilir.
Dell aşağıdakiler gibi güvenlikle ilgili konular hakkında bilgi paylaşmak için güvenlik hakkında Bilgilendirici Makaleler yayımlayabilir:
Dell Güvenlik Önerileri ve Bildirimleri www.dell.com/support/security(İngilizce) adresinde bulunabilir. Bilgilendirici makaleler, doğrulandıktan sonra bu bağlantıda bulunabilir.
Herhangi bir Dell ürününde bir güvenlik açığı belirlerseniz, bunu mümkün olan en kısa sürede bildirmenizi rica ederiz. Güvenlik açıklarının zamanında belirlenmesi ve bildirilmesi, müşterilerimizin olası risklerini azaltma açısından kritik önem taşır. Güvenlik araştırmacıları, Dell Bugcrowd sitesi(İngilizce) aracılığıyla ürün güvenlik açığı raporlarını göndermelidir. Kurumsal ve ticari ürün müşterileri ve iş ortakları, Dell ürünlerinde bulunan tüm güvenlik sorunlarını bildirmek için ilgili Teknik Destek ekibiyle iletişime geçmelidir. Bildirilen sorunla ilgilenmek ve bundan sonra izlenecek adımlarda müşterilere yol göstermek için Teknik Destek ekibi, uygun ürün ekibi ve Dell PSIRT birlikte çalışır.
Teknik Desteğe erişimi olmayan ve/veya hata avcısı programından geçmek istemeyen sektör grupları, satıcılar ve diğer kullanıcılar, güvenlik açığı raporlarını e-posta yoluyla doğrudan Dell PSIRT'e gönderebilir. Hassas bilgiler iletilirken e-posta mesajları ve ekler, PGP ve buradan indirilebilen bir Dell PSIRT PGP anahtarı kullanılarak şifrelenebilir. Dell, koşullar izin verir vermez güvenlik açığı açıklama raporunuzu onaylayacaktır.
Her durumda Dell, güvenlik açığı açıklama raporunu teslim aldıktan sonraki üç (3) iş günü içinde kabul etmek ve her otuz (30) takvim gününde bir veya daha sık düzeltmeye ilişkin güncelleştirmeler sağlamak için çaba gösterir.
Olası bir güvenlik açığını bildirirken, bildirilen sorunun doğasını ve kapsamını daha iyi anlamamıza yardımcı olmak için aşağıdaki bilgilerden olabildiğince çoğunu eklemenizi istiyoruz:
Bir güvenlik açığı size gizli veya kamuya açık olmayan bilgilere (üçüncü taraf verileri, kişisel veriler veya Dell tarafından Şirket İçi Kullanım, Kısıtlanmış veya Yüksek Derecede Kısıtlanmış olarak işaretlenmiş herhangi bir bilgi dahil) erişmenizi sağlıyorsa, bu tür bilgilere yalnızca Dell'e güvenlik açığını bildirmek için gereken minimum düzeyde erişmelisiniz. Dell'e göndermeniz dışında, bu tür bilgileri saklamamalı, aktarmamalı, kullanmamalı, saklamamalı, ifşa etmemeli veya kopyalamamalısınız.
Ayrıca, sahibinin açık izni olmadıkça, Dell sistemlerinin bütünlüğünü veya kullanılabilirliğini etkileyen herhangi bir eylemde bulunmamalısınız. Kavram kanıtı elde etmek için yalnızca gereken minimum şeyi yapın. Araştırmanız sırasında performansın düştüğünü fark ederseniz veya istemeden bir ihlale veya kesintiye neden olursanız (müşteri verilerine veya hizmet yapılandırmalarına erişim gibi), lütfen otomatik araçların her türlü kullanımını durdurun ve olayı hemen bildirin. Herhangi bir zamanda endişeleriniz olursa veya güvenlik araştırmanızın bu ilkeyle tutarlı olup olmadığından emin değilseniz, daha ileri gitmeden önce lütfen secure@dell.com ile iletişim kurun.
Diğer türlerdeki güvenlik sorunlarını Dell'e bildirmek için aşağıda listelenen uygun iletişimleri kullanın:
Güvenlik Sorunu | İletişim Bilgileri |
Dell.com'de veya başka bir çevrimiçi hizmette, web uygulamasında veya üründe güvenlik açığı veya sorun bildirmek için | https://bugcrowd.com/dell-com(İngilizce) adresine sorunu yeniden oluşturmak için adım adım yönergeleri de içeren bir rapor gönderin. |
Kimlik hırsızlığından şüpheleniyorsanız veya Dell Financial Services ile ilgili hileli bir işlemle karşılaştırsanız | Bkz. Dell Financial Services Güvenlik(İngilizce) |
Gizlilikle ilgili istekleri veya soruları göndermek için | Bkz. Dell Gizlilik(İngilizce) |
Dell, Güvenlik Danışma Belgemizde ve sürüm notları, bilgi bankası makaleleri ve SSS'leri (Sıkça Sorulan Sorular) içerebilecek ilgili belgelerde güvenlik açığı giderme çabaları hakkında bilgi sağlayarak mümkün olduğunca şeffaf olmaya çalışmaktadır. Dell, tanımlanmış güvenlik açıkları için doğrulanmış açıklardan yararlanmaları veya kavram kodunun kanıtını paylaşmaz. Sektör uygulamalarına uygun olarak Dell, dahili güvenlik testlerinden veya diğer ayrıcalıklı bilgi türlerinden elde edilen test sonuçlarını veya kavram kanıtlarını harici kuruluşlarla paylaşmaz.
Dell müşterilerinin herhangi bir Dell yazılım ürünündeki güvenlik açıkları da dahil olmak üzere garantiler, destek ve bakımla ilgili hakları, yalnızca Dell ile bireysel müşterinin arasındaki ilgili anlaşmayla yönetilir. Bu web sayfasındaki bildirimler müşteri haklarının hiçbirini değiştirmez, kapsamını genişletmez veya başka bir yolla yeni hak eklemez ya da ek garanti getirmez.
Bu Güvenlik Açığı Yanıtlama Politikası'nın tüm yönleri önceden bildirimde bulunulmadan değiştirilebilir. Belirli bir sorun veya sorun sınıfı için yanıt sağlanacağı garanti edilmez. Bu belgedeki bilgileri veya burayla bağlantılı malzemeleri kullanmanın riski size aittir.