Společnost Dell se aktivně účastní rozmanitých komunitních činností(anglicky), například fóra pro reakci na incidenty a týmů pro odezvu (FIRST)(anglicky) a fóra SAFECode (Software Assurance Forum for Excellence in Code)(anglicky). Naše procesy a postupy jsou v souladu s prostředím FIRST PSIRT pro služby(anglicky) a dalšími standardy, například ISO/IEC 29147:2018(anglicky) a ISO/IEC 30111:2019(anglicky).
Společnost Dell si váží svých partnerů v oboru a výzkumných pracovníků ve sféře zabezpečení, oceňuje všechny příspěvky ke svým bezpečnostním iniciativám a podporuje zodpovědné a koordinované zveřejňování, protože zabezpečení zákazníků je prvořadé. Naším cílem je zajistit, aby v době zveřejnění specifických chyb zabezpečení v produktech Dell byly k dispozici opravné prostředky nebo strategie ke zmírnění důsledků, a spolupracovat s ostatními dodavateli v případě, že náprava vyžaduje jejich spolupráci.
Dle těchto zásad jsou všechny informace o nových hrozbách považovány za důvěrné a budou sdíleny pouze mezi společností Dell a ohlašující stranou – pokud již informace není veřejně známá – dokud není známá náprava a zveřejnění není zkoordinované.
Po prošetření a ověření zprávy o hrozbě vyvineme a blíže vymezíme vhodnou nápravu pro produkty, které spadají pod aktivní podporu ze strany společnosti Dell. Náprava může mít jednu či více následujících podob:
Společnost Dell vyvíjí maximální úsilí s cílem poskytnout opravu či nápravnou akci v co nejkratším čase, smysluplném z komerčního hlediska. Časové harmonogramy závisejí na mnoha faktorech, například:
Ke zveřejňování popisu chyb zabezpečení v produktech Dell používá společnost Dell standardní systém hodnocení hrozeb(anglicky) verze 3.1 (CVSS v3.1). Standard udržuje platforma FIRST.
Hodnocení CVSS poskytuje číselnou hodnotu, která vyjadřuje závažnost chyby a bere v úvahu několik faktorů, například úsilí, které je nezbytné ke zneužití chyby, a potenciální důsledky v případě využití chyby. Společnost Dell shrnuje vyhodnocený dopad chyby pomocí číselného skóre, vektorového řetězce a kvalitativního popisu chyby (kritická, závažná, střední, nízká), na základě níže uvedeného rozsahu:
Míra závažnosti | Skóre CVSS verze 3.1 |
Kritická | 9,0–10 |
Vysoká | 7,0–8,9 |
Střední | 4,0–6,9 |
Nízká | 0,1–3,9 |
Společnost Dell doporučuje všem zákazníkům využít tyto informace jako podpůrný prostředek při výpočtu metrik, které mohou být relevantní pro jejich prostředí, k přesnému vyhodnocení specifického rizika pro jejich zařízení nebo pro implementaci produktů Dell.
Upozorňujeme, že hodnocení chyb zabezpečení, skóre CVSS nebo vektorový řetězec společností Dell se mohou od hodnocení z jiných zdrojů lišit. V případě nesrovnalostí používá společnost Dell jako základní zdroj informací údaje obsažené ve svých bezpečnostních zpravodajích.
Společnost Dell vydává bezpečnostní doporučení, oznámení a informační články, v nichž zákazníkům předává informace o chybách v zabezpečení, které mají vliv na naše produkty.
Jakmile proběhne analýza a stanovení řešení, dojde k vydání bezpečnostních doporučení, která obsahují pokyny, jak se zákazníci mohou chránit, zmírnit dopady nebo napravit chyby v zabezpečení.
Bezpečnostní upozornění poskytují dostatečné podrobnosti, aby bylo možné zhodnotit vliv hrozeb a opravit potenciálně dotčené produkty. Podrobnosti však mohou být omezeny, aby se snížila pravděpodobnost zneužití informací a hrozby týkající se škody zákazníků.
Bezpečnostní zpravodaje Dell obvykle obsahují v příslušných případech následující informace:
V konkrétních případech může společnost Dell zveřejnit bezpečnostní upozornění, potvrdit všeobecně známou chybu zabezpečení a vydat prohlášení nebo jiné informace, kdy či kde budou zpřístupněny dodatečné informace.
Společnost Dell může zveřejnit informační články ohledně zabezpečení a sdílet informace o bezpečnostních tématech, například:
Bezpečnostní zpravodaje a oznámení Dell jsou vám k dispozici na adrese www.dell.com/support/security/(anglicky). Na tomto odkazu jsou k dispozici ověřené informační články.
Jestliže rozpoznáte slabé místo zabezpečení v jakémkoli produktu Dell, co nejdříve nám je nahlaste. Včasná identifikace a nahlášení hrozby jsou důležité kvůli odstranění případného nebezpečí pro naše zákazníky. Odborníci na zabezpečení by měli odesílat zprávy o chybách v zabezpečení produktů prostřednictvím stránek Dell Bugcrowd(anglicky). Firemní i komerční zákazníci a partneři by měli kontaktovat příslušný tým technické podpory a nahlásit bezpečnostní problémy odhalené v produktech Dell. Tým technické podpory, příslušný produktový tým a Dell PSIRT budou společně řešit nahlášený problém a poskytnou zákazníkům další pokyny.
Průmyslové skupiny, dodavatelé a další uživatelé, kteří nemají přístup k technické podpoře nebo se nechtějí účastnit programu zjišťování chyb, by měli zaslat zprávy o hrozbách přímo týmu Dell PSIRT prostřednictvím e-mailu. Při zasílání citlivých informací je třeba e-mailové zprávy a přílohy šifrovat pomocí protokolu PGP a klíče Dell PSIRT PGP, který lze stáhnout zde. Společnost Dell potvrdí vaši zprávu o zjištěných zranitelných místech, jakmile to okolnosti umožní.
Ve všech případech bude společnost Dell usilovat o potvrzení vaší zprávy o hrozbě do tří (3) pracovních dnů od přijetí a poskytne aktualizované informace o nápravě s frekvencí třiceti (30) kalendářních dnů nebo méně.
Při zasílání potenciální hrozby přiložte co nejvíce níže uvedených informací, které nám pomohou lépe pochopit povahu a rozsah nahlášeného problému:
Jestliže vám chyba v zabezpečení umožní přístup k důvěrným nebo neveřejným informacím (včetně údajů třetích stran, osobních údajů nebo jakýchkoli informací, které jsou dle označení společnosti Dell určené pro interní použití nebo je k nim omezený či vysoce omezený přístup), měli byste k takovým informacím přistupovat minimálním způsobem nezbytným pro nahlášení chyby společnosti Dell. Kromě zaslání společnosti Dell byste takové informace neměli ukládat, přenášet, používat, uchovávat, zveřejňovat ani kopírovat.
Rovněž byste se neměli účastnit žádných aktivit, které ovlivňují integritu nebo dostupnost systémů Dell, nemáte-li výslovné povolení vlastníka. Proveďte pouze nezbytné minimum k ověření svých zjištění. Jestliže během výzkumu zaznamenáte snížení výkonu nebo neúmyslně způsobíte narušení provozu (například přístupem k zákaznickým datům nebo konfiguracím služeb), zastavte veškeré automatizované nástroje a ihned incident nahlaste. Máte-li obavy nebo si nejste jisti, zda váš průzkum zabezpečení odpovídá těmto zásadám, zašlete před pokračováním dotaz na adresu secure@dell.com.
Další typy bezpečnostních problémů nahlaste společnosti Dell pomocí níže uvedených kontaktů:
Bezpečnostní problém | Kontaktní údaje |
Nahlášení bezpečnostní hrozby pomocí serveru Dell.com nebo jiné online služby Dell či webové aplikace | Zašlete zprávu na adresu https://bugcrowd.com/dell-com(anglicky) s podrobnými pokyny k reprodukci chyby. |
Pokud se domníváte, že došlo ke krádeži identity nebo podvodné transakci související s finančními službami Dell Financial Services. | Viz Zabezpečení společnosti Dell Financial Services(anglicky). |
Odeslání požadavků nebo otázek týkajících se ochrany osobních údajů | Viz Ochrana osobních údajů společnosti Dell(anglicky). |
Společnost Dell chce jednat co nejtransparentnějším způsobem a informace o nápravě chyb zabezpečení poskytuje v bezpečnostních zpravodajích a související dokumentaci, která může obsahovat inforace o vydání, články z databáze znalostí a často kladené dotazy. Společnost Dell nesdílí u zjištěných chyb zabezpečení ověřená zneužití nebo kód pro ověření koncepce. V souladu s postupy v odvětví společnost Dell také nesdílí s externími subjekty výsledky testů, ověření koncepce z interního testování zabezpečení nebo jiné typy privilegovaných informací.
Práva zákazníků společnosti Dell v otázce záruky, podpory a údržby – včetně hrozeb v jakémkoli softwarovém produktu Dell – se řídí výhradně příslušnými smlouvami mezi společností Dell a konkrétním zákazníkem. Prohlášení na této webové stránce nemění, nenavyšují ani jinak nedoplňují jakákoli oprávnění zákazníků ani nezakládají žádné dodatečné záruky.
Všechny aspekty těchto zásad reakce na chyby zabezpečení se mohou změnit bez předchozího upozornění. Pro žádný konkrétní problém nebo třídu problémů není zaručena reakce. Informace z tohoto dokumentu nebo z materiálů, na něž vedou zde uvedené odkazy, používáte na své vlastní riziko.