Přeskočit na hlavní obsah
Odhlásit

Vítejte ve společnosti Dell.

Můj účet
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů
Přihlásit se Vytvořte si účet Přihlášení na stránky Premier Přihlášení do partnerského programu
Spojte se s námi

Zásady společnosti Dell pro odezvu při ohrožení

Úvod

Společnost Dell se snaží pomáhat svým zákazníkům minimalizovat rizika související s bezpečnostními hrozbami v našich produktech. Naším cílem je poskytnout zákazníkům včasné informace, vedení a možnosti eliminace hrozeb. Tým pro řešení bezpečnostních incidentů v produktech Dell (Dell PSIRT) zodpovídá za koordinaci reakce a zveřejnění bezpečnostních slabin ohrožujících produkty Dell.

Společnost Dell se aktivně účastní rozmanitých komunitních činností(anglicky), například fóra pro reakci na incidenty a týmů pro odezvu (FIRST)(anglicky) a fóra SAFECode (Software Assurance Forum for Excellence in Code)(anglicky). Naše procesy a postupy jsou v souladu s prostředím FIRST PSIRT pro služby(anglicky) a dalšími standardy, například ISO/IEC 29147:2018(anglicky) a ISO/IEC 30111:2019(anglicky).

Zprávy o zpracování hrozby

Společnost Dell si váží svých partnerů v oboru a výzkumných pracovníků ve sféře zabezpečení, oceňuje všechny příspěvky ke svým bezpečnostním iniciativám a podporuje zodpovědné a koordinované zveřejňování, protože zabezpečení zákazníků je prvořadé. Naším cílem je zajistit, aby v době zveřejnění specifických chyb zabezpečení v produktech Dell byly k dispozici opravné prostředky nebo strategie ke zmírnění důsledků, a spolupracovat s ostatními dodavateli v případě, že náprava vyžaduje jejich spolupráci.

Dle těchto zásad jsou všechny informace o nových hrozbách považovány za důvěrné a budou sdíleny pouze mezi společností Dell a ohlašující stranou – pokud již informace není veřejně známá – dokud není známá náprava a zveřejnění není zkoordinované.

Odstraňování hrozeb

Po prošetření a ověření zprávy o hrozbě vyvineme a blíže vymezíme vhodnou nápravu pro produkty, které spadají pod aktivní podporu ze strany společnosti Dell. Náprava může mít jednu či více následujících podob:

  • nové vydání dotčeného produktu v balení od společnosti Dell;
  • oprava od společnosti Dell, kterou lze nainstalovat na dotčený produkt;
  • pokyny ke stažení a instalaci nezbytné aktualizace nebo opravy od jiného dodavatele, aby byla hrozba odstraněna;
  • postup nápravy nebo alternativního řešení publikovaný společností Dell, v němž uživatelé naleznou opatření k odstranění hrozby.

Společnost Dell vyvíjí maximální úsilí s cílem poskytnout opravu či nápravnou akci v co nejkratším čase, smysluplném z komerčního hlediska. Časové harmonogramy závisejí na mnoha faktorech, například:

  • závažnost chyby;
  • složitost chyby;
  • rozsah dotčené oblasti;
  • úsilí/důsledky při nápravě;
  • životní cyklus produktu.

Jak společnost Dell hodnotí závažnost a dopad chyb zabezpečení

Ke zveřejňování popisu chyb zabezpečení v produktech Dell používá společnost Dell standardní systém hodnocení hrozeb(anglicky) verze 3.1 (CVSS v3.1). Standard udržuje platforma FIRST.

Hodnocení CVSS poskytuje číselnou hodnotu, která vyjadřuje závažnost chyby a bere v úvahu několik faktorů, například úsilí, které je nezbytné ke zneužití chyby, a potenciální důsledky v případě využití chyby. Společnost Dell shrnuje vyhodnocený dopad chyby pomocí číselného skóre, vektorového řetězce a kvalitativního popisu chyby (kritická, závažná, střední, nízká), na základě níže uvedeného rozsahu:

Míra závažnosti

Skóre CVSS verze 3.1

Kritická

9,0–10

Vysoká

7,0–8,9

Střední

4,0–6,9

Nízká

0,1–3,9

Společnost Dell doporučuje všem zákazníkům využít tyto informace jako podpůrný prostředek při výpočtu metrik, které mohou být relevantní pro jejich prostředí, k přesnému vyhodnocení specifického rizika pro jejich zařízení nebo pro implementaci produktů Dell.

Upozorňujeme, že hodnocení chyb zabezpečení, skóre CVSS nebo vektorový řetězec společností Dell se mohou od hodnocení z jiných zdrojů lišit. V případě nesrovnalostí používá společnost Dell jako základní zdroj informací údaje obsažené ve svých bezpečnostních zpravodajích.

Externí komunikace

Společnost Dell vydává bezpečnostní doporučení, oznámení a informační články, v nichž zákazníkům předává informace o chybách v zabezpečení, které mají vliv na naše produkty.

Jakmile proběhne analýza a stanovení řešení, dojde k vydání bezpečnostních doporučení, která obsahují pokyny, jak se zákazníci mohou chránit, zmírnit dopady nebo napravit chyby v zabezpečení.

Bezpečnostní upozornění poskytují dostatečné podrobnosti, aby bylo možné zhodnotit vliv hrozeb a opravit potenciálně dotčené produkty. Podrobnosti však mohou být omezeny, aby se snížila pravděpodobnost zneužití informací a hrozby týkající se škody zákazníků.

Bezpečnostní zpravodaje Dell obvykle obsahují v příslušných případech následující informace:

  • celkový dopad, jenž představuje textovou formu závažnosti chyby (tj. kritická, vysoká, střední a nízká), která počítá pomocí kvalitativní stupnice závažnosti CVSS pro nejvyšší základní skóre CVSS všech identifikovaných chyb;
  • dotčené produkty a verze;
  • základní skóre a vektor CVSS pro všechny zjištěné chyby;
  • identifikátor běžných chyb zabezpečení a zranitelných míst(anglicky) (CVE) pro všechny identifikované hrozby, aby bylo možné sdílet informaci o hrozbě v různých nástrojích pro správu hrozeb (např. skenery hrozeb, úložiště a služby);
  • stručný popis hrozby a případné důsledky v případě zneužití;
  • podrobnosti o nápravě s informacemi o aktualizaci/řešení;
  • Informace o kategorii hrozby:
    • proprietární kód – hardware, software nebo firmware vyvinutý společností Dell;
    • komponenta třetí strany – hardware, software nebo firmware, který je buď zdarma distribuován v balíčcích, nebo jinak začleněn do produktu Dell;
  • další reference, v příslušném případě.

V konkrétních případech může společnost Dell zveřejnit bezpečnostní upozornění, potvrdit všeobecně známou chybu zabezpečení a vydat prohlášení nebo jiné informace, kdy či kde budou zpřístupněny dodatečné informace.

Společnost Dell může zveřejnit informační články ohledně zabezpečení a sdílet informace o bezpečnostních tématech, například:

  • zavedení nových funkcí ke zvýšení zabezpečení;
  • průvodce konfigurací zabezpečení pro konkrétní produkty a doporučené postupy;
  • slabá místa v zabezpečení komponent třetích stran identifikovaná pomocí testovacích nástrojů, která však nelze zneužít ze specifikovaného produktu;
  • pokyny k instalaci konkrétních aktualizací zabezpečení;
  • informace o vlivu aktualizací zabezpečení na produkty od jiných výrobců než Dell a společných a předběžných požadavků, které by mohly mít důsledky pro produkty společnosti Dell.

Bezpečnostní zpravodaje a oznámení Dell jsou vám k dispozici na adrese www.dell.com/support/security/(anglicky). Na tomto odkazu jsou k dispozici ověřené informační články.

Jak nahlásit bezpečnostní hrozbu

Jestliže rozpoznáte slabé místo zabezpečení v jakémkoli produktu Dell, co nejdříve nám je nahlaste. Včasná identifikace a nahlášení hrozby jsou důležité kvůli odstranění případného nebezpečí pro naše zákazníky. Odborníci na zabezpečení by měli odesílat zprávy o chybách v zabezpečení produktů prostřednictvím stránek Dell Bugcrowd(anglicky).  Firemní i komerční zákazníci a partneři by měli kontaktovat příslušný tým technické podpory a nahlásit bezpečnostní problémy odhalené v produktech Dell. Tým technické podpory, příslušný produktový tým a Dell PSIRT budou společně řešit nahlášený problém a poskytnou zákazníkům další pokyny.

Průmyslové skupiny, dodavatelé a další uživatelé, kteří nemají přístup k technické podpoře nebo se nechtějí účastnit programu zjišťování chyb, by měli zaslat zprávy o hrozbách přímo týmu Dell PSIRT prostřednictvím e-mailu. Při zasílání citlivých informací je třeba e-mailové zprávy a přílohy šifrovat pomocí protokolu PGP a klíče Dell PSIRT PGP, který lze stáhnout zde. Společnost Dell potvrdí vaši zprávu o zjištěných zranitelných místech, jakmile to okolnosti umožní.

Ve všech případech bude společnost Dell usilovat o potvrzení vaší zprávy o hrozbě do tří (3) pracovních dnů od přijetí a poskytne aktualizované informace o nápravě s frekvencí třiceti (30) kalendářních dnů nebo méně.

Při zasílání potenciální hrozby přiložte co nejvíce níže uvedených informací, které nám pomohou lépe pochopit povahu a rozsah nahlášeného problému:

  • název a verze produktu s podezřením na chybu v zabezpečení;
  • informace o prostředí či systému, v němž se problém objevil (např. modelové číslo produktu, verze operačního systému a další související informace);
  • výčet běžných slabin (CWE) a typ nebo třída chyby (např. skriptování cross-site, přetečení zásobníku, odepření služby, vzdálené spuštění kódu);
  • podrobné pokyny k reprodukci hrozby;
  • ověření koncepce nebo škodlivý kód;
  • možný dopad hrozby.

Pokyny pro chování výzkumníků

Jestliže vám chyba v zabezpečení umožní přístup k důvěrným nebo neveřejným informacím (včetně údajů třetích stran, osobních údajů nebo jakýchkoli informací, které jsou dle označení společnosti Dell určené pro interní použití nebo je k nim omezený či vysoce omezený přístup), měli byste k takovým informacím přistupovat minimálním způsobem nezbytným pro nahlášení chyby společnosti Dell. Kromě zaslání společnosti Dell byste takové informace neměli ukládat, přenášet, používat, uchovávat, zveřejňovat ani kopírovat.

Rovněž byste se neměli účastnit žádných aktivit, které ovlivňují integritu nebo dostupnost systémů Dell, nemáte-li výslovné povolení vlastníka. Proveďte pouze nezbytné minimum k ověření svých zjištění. Jestliže během výzkumu zaznamenáte snížení výkonu nebo neúmyslně způsobíte narušení provozu (například přístupem k zákaznickým datům nebo konfiguracím služeb), zastavte veškeré automatizované nástroje a ihned incident nahlaste. Máte-li obavy nebo si nejste jisti, zda váš průzkum zabezpečení odpovídá těmto zásadám, zašlete před pokračováním dotaz na adresu secure@dell.com.

Jak upozornit společnost Dell na jiné bezpečnostní problémy:

Další typy bezpečnostních problémů nahlaste společnosti Dell pomocí níže uvedených kontaktů:

Bezpečnostní problém

Kontaktní údaje

Nahlášení bezpečnostní hrozby pomocí serveru Dell.com nebo jiné online služby Dell či webové aplikace

Zašlete zprávu na adresu https://bugcrowd.com/dell-com(anglicky) s podrobnými pokyny k reprodukci chyby.

Pokud se domníváte, že došlo ke krádeži identity nebo podvodné transakci související s finančními službami Dell Financial Services.

Viz Zabezpečení společnosti Dell Financial Services(anglicky).

Odeslání požadavků nebo otázek týkajících se ochrany osobních údajů

Viz Ochrana osobních údajů společnosti Dell(anglicky).

Omezení

Společnost Dell chce jednat co nejtransparentnějším způsobem a informace o nápravě chyb zabezpečení poskytuje v bezpečnostních zpravodajích a související dokumentaci, která může obsahovat inforace o vydání, články z databáze znalostí a často kladené dotazy.  Společnost Dell nesdílí u zjištěných chyb zabezpečení ověřená zneužití nebo kód pro ověření koncepce. V souladu s postupy v odvětví společnost Dell také nesdílí s externími subjekty výsledky testů, ověření koncepce z interního testování zabezpečení nebo jiné typy privilegovaných informací.

Práva zákazníků: Záruky, podpora a údržba

Práva zákazníků společnosti Dell v otázce záruky, podpory a údržby – včetně hrozeb v jakémkoli softwarovém produktu Dell – se řídí výhradně příslušnými smlouvami mezi společností Dell a konkrétním zákazníkem. Prohlášení na této webové stránce nemění, nenavyšují ani jinak nedoplňují jakákoli oprávnění zákazníků ani nezakládají žádné dodatečné záruky.

Odmítnutí odpovědnosti

Všechny aspekty těchto zásad reakce na chyby zabezpečení se mohou změnit bez předchozího upozornění. Pro žádný konkrétní problém nebo třídu problémů není zaručena reakce. Informace z tohoto dokumentu nebo z materiálů, na něž vedou zde uvedené odkazy, používáte na své vlastní riziko.