Ana içeriğe atla
Oturumu Kapat

Dell'e Hoş Geldiniz

Hesabım
  • Hızla ve kolayca sipariş verin
  • Siparişleri görüntüleyin ve kargonuzun durumunu izleyin
  • Ürünlerinizin listesini oluşturun ve listeye erişin
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Oturum Aç Hesap oluşturun Premier Oturum Açma İş Ortağı Programı Oturum Açma
Bize Ulaşın

Dell Güvenlik Açığı Yanıtlama Politikası

Giriş

Dell, müşterilerimizin ürünlerimizdeki güvenlik açıklarıyla ilişkili riskleri minimum düzeye düşürmesine yardımcı olmak için çalışmaktadır. Hedefimiz, güvenlik açıklarıyla ilgilenmeleri için müşterilere doğru zamanda gerekli bilgileri, rehberliği ve riski azaltma seçeneklerini sağlamaktır. Dell Ürün Güvenliği Olay Yanıt Ekibi (Dell PSIRT), Dell ürünlerini etkileyen tüm ürün güvenlik açıklarına verilen yanıtları ve bunların ortaya çıkarılmasını koordine etmekten sorumludur.

Dell, Olay Müdahale ve Müdahale Ekipleri Forumu (FIRST)​(İngilizce) ve Kodda Mükemmellik için Yazılım Güvencesi Forumu (SAFECode)​(İngilizce) dahil olmak üzere çeşitli topluluk çalışmalarına​(İngilizce) aktif olarak katılır. Süreçlerimiz ve prosedürlerimiz, FIRST PSIRT Hizmetleri Çerçevesinin​(İngilizce) yanı sıra ISO/IEC 29147:2018​(İngilizce) ve ISO/IEC 30111:2019​(İngilizce) dahil olmak üzere diğer standartlarla uyumludur.

Güvenlik Açığı Raporlarını Ele Alma

Dell, sektör ortaklarımıza ve güvenlik araştırmacılarına değer verir, güvenlik girişimlerimize yapılan tüm katkıları takdir eder ve müşterilerimizin güvenliği çok önemli olduğundan sorumlu ve koordineli açıklamayı teşvik eder. Hedefimiz, Dell'e özgü güvenlik açıklarının ifşa edilmesi sırasında çözümlerin ve/veya hafifletici stratejilerin mevcut olmasını sağlamak ve düzeltme, işbirliğini gerektirdiğinde üçüncü taraf satıcılarla çalışmaktır.

Bu politikaya göre, yeni güvenlik açıkları hakkında ifşa edilen tüm bilgiler gizli kabul edilir ve yalnızca bilgi halihazırda kamuya açık değilse, bir çözüm bulunana ve ifşa faaliyetleri koordine edilene kadar Dell ile rapor eden taraf arasında paylaşılacaktır.

Güvenlik Açığı Düzeltmesi

Bildirilen güvenlik açığı incelenip doğrulandıktan sonra, Dell'in etkin desteği kapsamında olan ürünler için uygun bir düzeltme geliştirmeye ve bu düzeltmeyi yeterli hale getirmeye çalışırız. Düzeltme, şu biçimlerden birinde veya birden çoğunda olabilir:

  • Etkilenen ürünün Dell tarafından paketlenmiş yeni bir sürümü;
  • Etkilenen ürüne yüklenebilecek Dell tarafından sağlanan bir yama;
  • Güvenlik açığını azaltmak için gereken bir güncelleme veya yamayı üçüncü taraf satıcıdan indirme ve yükleme yönergeleri;
  • Kullanıcılara güvenlik açığını azaltmak amacıyla alabilecekleri önlemlerin açıklandığı, Dell tarafından yayımlanan bir düzeltme yordamı veya geçici çözüm.

Dell ticari olarak makul olan en kısa zamanda bir düzeltme veya düzeltici eylem sağlamak için her türlü çabayı gösterir. Yanıt zaman çizelgesi aşağıdakiler gibi birçok faktöre bağlıdır:

  • Güvenlik açığının önem derecesi;
  • Güvenlik açığının karmaşıklığı;
  • Etkilenenlerin kapsamı;
  • Düzeltme için çaba/etki;
  • Ürün Yaşam Döngüsü.

Dell, Güvenlik Açıklarının Önemini ve Etkisini Nasıl Derecelendirir?

Dell, Dell ürünlerindeki güvenlik açıklarının özelliklerini iletmek için Yaygın Güvenlik Açığı Puanlama Sistemi​(İngilizce) standardı sürüm 3.1'i (CVSS v3.1) kullanır. Standart FIRST tarafından korunur.

CVSS puanlaması, güvenlik açığının ciddiyetini ölçmek için sayısal bir araç sağlar ve bir güvenlik açığından yararlanmak için gereken çaba düzeyi ve güvenlik açığından yararlanılması durumunda olası etki dahil olmak üzere çeşitli faktörleri göz önünde bulundurur. Dell, bir güvenlik açığının değerlendirilen etkisini sayısal bir puan, vektör dizisi ve önem derecesinin niteliksel temsili (yani, Kritik, Yüksek, Orta, Düşük'ten biri) aracılığıyla aşağıda sağlanan ölçeğe göre özetleyecektir:

Önem

CVSS v3.1 Puanı

Kritik

9,0 – 10

Yüksek

7,0 – 8,9

Orta

4,0 – 6,9

Düşük

0,1 – 3,9

Dell, tüm müşterilerin bu bilgileri, kendi varlıklarına veya Dell ürünlerinin uygulanmasına özgü riski doğru bir şekilde değerlendirmek için çevreleriyle ilgili olabilecek çevresel ölçümlerin hesaplanmasını desteklemek için kullanmalarını önerir.

Dell'in bir güvenlik açığı, CVSS puanı ve/veya Vektör Dizisi değerlendirmesinin diğer kaynaklar tarafından sağlananlardan farklı olmasının alışılmadık bir durum olmadığını lütfen unutmayın. Bir tutarsızlık olması durumunda, Dell, güvenilir bilgi kaynağı olarak Dell Güvenlik Önerilerinde yer alan bilgileri kullanacaktır.

Dış İletişim

Dell, ürünlerimizi etkileyen güvenlik açıkları hakkında müşterilerle iletişim kurmak için güvenlik tavsiyeleri, bildirimler ve bilgi makaleleri yayınlar.

Dell, çözümleri analiz edip belirledikten sonra, müşterilerin kendilerini nasıl koruyabilecekleri, güvenlik açıklarını nasıl azaltabilecekleri ve/veya düzeltebilecekleri konusunda rehberlik veya yönergeler sağlamak için güvenlik önerileri yayımlanır.

Güvenlik Önerileri, güvenlik açıklarının etkisini değerlendirmek ve etkilenme olasılığı olan ürünlere çözüm getirmek için yeterli ayrıntının sağlanmasına yöneliktir. Öte yandan, kötü niyetli aktörlerin sağlanan bilgilerden yararlanma ve bu bilgileri kötüye kullanarak müşterilerimize zarar verme olasılığını azaltmak için tüm ayrıntılara sınırlama getirilebilir.

Dell Güvenlik Önerileri tipik olarak (varsa) aşağıdaki bilgileri içerir:

  • Tüm belirlenen güvenlik açıklarının en yüksek CVSS Taban Puanı için CVSS Önem Derecesi Niteliksel Önem Derecelendirme Ölçeği kullanılarak hesaplanan önem derecesinin metin gösterimi (kritik, yüksek, orta ve düşük gibi) olan genel etki.
  • Etkilenen ürünler ve sürümler;
  • Tüm tanımlanan güvenlik açıkları için CVSS Taban Puanı ve Vektörü;
  • Her benzersiz güvenlik açığıyla ilgili bilgileri çeşitli güvenlik açığı yönetim özellikleri (örneğin güvenlik açığı tarayıcıları gibi araçlar, depolar ve hizmetler) arasında paylaşabilmek amacıyla, tüm belirlenen güvenlik açıkları için Yaygın Güvenlik Açıkları ve Verilerin Açığa Çıkması​(İngilizce) (CVE) tanımlayıcısı;
  • Güvenlik açığının ve kötüye kullanılması durumunda olası etkisinin kısa açıklaması;
  • Güncelleme/geçici çözüm bilgileriyle birlikte çözüm ayrıntıları;
  • Güvenlik açığı kategorisi bilgileri:
    • Tescilli Kod – Dell tarafından geliştirilen donanım, yazılım veya bellenim.
    • Üçüncü Parti Bileşen – Paketlenmiş olarak serbestçe dağıtılan ya da başka bir şekilde Dell ürününe dahil edilen donanım, yazılım veya bellenim;
  • Uygun ek referanslar.

Bazı özel durumlarda Dell, kamunun bilgisi dahilindeki bir güvenlik açığını kabul etmek ve ek bilgilerin ne zaman (veya nerede) sunulacağına ilişkin bir bildirim veya başka yönergeler sağlamak üzere bir Güvenlik Bildirimi yayımlayabilir.

Dell aşağıdakiler gibi güvenlikle ilgili konular hakkında bilgi paylaşmak için güvenlik hakkında Bilgilendirici Makaleler yayımlayabilir:

  • Yeni güvenlik güçlendirme özellikleri tanıtıldı;
  • Ürüne özel güvenlik yapılandırma kılavuzları ve en iyi uygulamaları;
  • Güvenlik tarama araçları tarafından belirlenen ancak belirtilen ürün içinden kötüye kullanılamayan, üçüncü taraf bileşenlerinin güvenlik açıkları;
  • Belirli güvenlik güncellemelerini uygulamak için yükleme yönergeleri;
  • Dell dışı ürün ortak gereksinimleri ve ön gereksinimlerinde yapılan ve Dell ürünlerini etkileyebilecek güvenlik güncellemelerinin etkisiyle ilgili bilgiler.

Dell Güvenlik Önerileri ve Bildirimleri www.dell.com/support/security​(İngilizce) adresinde bulunabilir. Bilgilendirici makaleler, doğrulandıktan sonra bu bağlantıda bulunabilir.

Güvenlik Açığı Nasıl Bildirilir?

Herhangi bir Dell ürününde bir güvenlik açığı belirlerseniz, bunu mümkün olan en kısa sürede bildirmenizi rica ederiz. Güvenlik açıklarının zamanında belirlenmesi ve bildirilmesi, müşterilerimizin olası risklerini azaltma açısından kritik önem taşır. Güvenlik araştırmacıları, Dell Bugcrowd sitesi​(İngilizce) aracılığıyla ürün güvenlik açığı raporlarını göndermelidir.  Kurumsal ve ticari ürün müşterileri ve iş ortakları, Dell ürünlerinde bulunan tüm güvenlik sorunlarını bildirmek için ilgili Teknik Destek ekibiyle iletişime geçmelidir. Bildirilen sorunla ilgilenmek ve bundan sonra izlenecek adımlarda müşterilere yol göstermek için Teknik Destek ekibi, uygun ürün ekibi ve Dell PSIRT birlikte çalışır.

Teknik Desteğe erişimi olmayan ve/veya hata avcısı programından geçmek istemeyen sektör grupları, satıcılar ve diğer kullanıcılar, güvenlik açığı raporlarını e-posta yoluyla doğrudan Dell PSIRT'e gönderebilir. Hassas bilgiler iletilirken e-posta mesajları ve ekler, PGP ve buradan indirilebilen bir Dell PSIRT PGP anahtarı kullanılarak şifrelenebilir. Dell, koşullar izin verir vermez güvenlik açığı açıklama raporunuzu onaylayacaktır.

Her durumda Dell, güvenlik açığı açıklama raporunu teslim aldıktan sonraki üç (3) iş günü içinde kabul etmek ve her otuz (30) takvim gününde bir veya daha sık düzeltmeye ilişkin güncelleştirmeler sağlamak için çaba gösterir.

Olası bir güvenlik açığını bildirirken, bildirilen sorunun doğasını ve kapsamını daha iyi anlamamıza yardımcı olmak için aşağıdaki bilgilerden olabildiğince çoğunu eklemenizi istiyoruz:

  • Şüphelenilen zayıflığı / güvenlik açığını içeren ürün adı ve sürümü;
  • Sorunun yeniden oluşturulduğu ortam veya sistem bilgileri (örneğin: ürün model numarası, işletim sistemi sürümü ve diğer ilgili bilgiler);
  • Yaygın Zayıflık Numaralandırması (CWE) ve Güvenlik açığı türü ve/veya sınıfı (ör. Siteler Arası Komut Dosyası Çalıştırma, arabellek taşması, hizmet reddi, uzaktan kod yürütme);
  • Güvenlik açığını yeniden oluşturmak için adım adım yönergeler;
  • Kavram kanıtı veya kötüye kullanma kodu;
  • Güvenlik açığının olası etkisi;

Araştırma Görevlisi Davranış Yönergeleri

Bir güvenlik açığı size gizli veya kamuya açık olmayan bilgilere (üçüncü taraf verileri, kişisel veriler veya Dell tarafından Şirket İçi Kullanım, Kısıtlanmış veya Yüksek Derecede Kısıtlanmış olarak işaretlenmiş herhangi bir bilgi dahil) erişmenizi sağlıyorsa, bu tür bilgilere yalnızca Dell'e güvenlik açığını bildirmek için gereken minimum düzeyde erişmelisiniz. Dell'e göndermeniz dışında, bu tür bilgileri saklamamalı, aktarmamalı, kullanmamalı, saklamamalı, ifşa etmemeli veya kopyalamamalısınız.

Ayrıca, sahibinin açık izni olmadıkça, Dell sistemlerinin bütünlüğünü veya kullanılabilirliğini etkileyen herhangi bir eylemde bulunmamalısınız. Kavram kanıtı elde etmek için yalnızca gereken minimum şeyi yapın. Araştırmanız sırasında performansın düştüğünü fark ederseniz veya istemeden bir ihlale veya kesintiye neden olursanız (müşteri verilerine veya hizmet yapılandırmalarına erişim gibi), lütfen otomatik araçların her türlü kullanımını durdurun ve olayı hemen bildirin. Herhangi bir zamanda endişeleriniz olursa veya güvenlik araştırmanızın bu ilkeyle tutarlı olup olmadığından emin değilseniz, daha ileri gitmeden önce lütfen secure@dell.com ile iletişim kurun.

Dell'e diğer Güvenlik Sorunlarını bildirme

Diğer türlerdeki güvenlik sorunlarını Dell'e bildirmek için aşağıda listelenen uygun iletişimleri kullanın:

Güvenlik Sorunu

İletişim Bilgileri

Dell.com'de veya başka bir çevrimiçi hizmette, web uygulamasında veya üründe güvenlik açığı veya sorun bildirmek için

https://bugcrowd.com/dell-com​(İngilizce) adresine sorunu yeniden oluşturmak için adım adım yönergeleri de içeren bir rapor gönderin.

Kimlik hırsızlığından şüpheleniyorsanız veya Dell Financial Services ile ilgili hileli bir işlemle karşılaştırsanız

Bkz. Dell Financial Services Güvenlik​(İngilizce)

Gizlilikle ilgili istekleri veya soruları göndermek için

Bkz. Dell Gizlilik​(İngilizce)

Sınırlamalar

Dell, Güvenlik Danışma Belgemizde ve sürüm notları, bilgi bankası makaleleri ve SSS'leri (Sıkça Sorulan Sorular) içerebilecek ilgili belgelerde güvenlik açığı giderme çabaları hakkında bilgi sağlayarak mümkün olduğunca şeffaf olmaya çalışmaktadır.  Dell, tanımlanmış güvenlik açıkları için doğrulanmış açıklardan yararlanmaları veya kavram kodunun kanıtını paylaşmaz. Sektör uygulamalarına uygun olarak Dell, dahili güvenlik testlerinden veya diğer ayrıcalıklı bilgi türlerinden elde edilen test sonuçlarını veya kavram kanıtlarını harici kuruluşlarla paylaşmaz.

Müşteri Hakları: Garantiler, Destek ve Bakım

Dell müşterilerinin herhangi bir Dell yazılım ürünündeki güvenlik açıkları da dahil olmak üzere garantiler, destek ve bakımla ilgili hakları, yalnızca Dell ile bireysel müşterinin arasındaki ilgili anlaşmayla yönetilir. Bu web sayfasındaki bildirimler müşteri haklarının hiçbirini değiştirmez, kapsamını genişletmez veya başka bir yolla yeni hak eklemez ya da ek garanti getirmez.

Sorumluluk Reddi

Bu Güvenlik Açığı Yanıtlama Politikası'nın tüm yönleri önceden bildirimde bulunulmadan değiştirilebilir. Belirli bir sorun veya sorun sınıfı için yanıt sağlanacağı garanti edilmez. Bu belgedeki bilgileri veya burayla bağlantılı malzemeleri kullanmanın riski size aittir.