Dell neemt actief deel aan verschillende community-inspanningen, waaronder het Forum of Incident Response and Response Teams (FIRST) (in het Engels) en het Software Assurance Forum for Excellence in Code (SAFECode) (in het Engels). Onze processen en procedures zijn afgestemd op het FIRST PSIRT Services Framework (in het Engels), evenals andere standaarden zoals ISO/IEC 29147:2018 (in het Engels) en ISO/IEC 30111:2019 (in het Engels).
Dell is blij met onze industriepartners en beveiligingsonderzoekers, is blij met alle bijdragen aan onze beveiligingsinitiatieven en stimuleert verantwoordelijke en gecoördineerde openbaarmaking omdat de beveiliging van onze klanten van het grootste belang is. We willen ervoor zorgen dat er oplossingen en/of beperkingsstrategieën beschikbaar zijn wanneer Dell-specifieke beveiligingslekken bekend worden gemaakt, en we willen samenwerken met externe leveranciers wanneer dit nodig is om een lek te herstellen.
In overeenstemming met dit beleid wordt alle informatie over nieuwe beveiligingslekken die bekend wordt gemaakt, beschouwd als vertrouwelijk. Deze informatie wordt uitsluitend tussen Dell en de meldende partij gedeeld als de informatie nog niet algemeen bekend is voordat er een oplossing beschikbaar is en de openbaarmaking gecoördineerd kan worden.
Wij trachten om na het onderzoeken en valideren van een gemeld beveiligingsprobleem een juiste oplossing te ontwikkelen en classificeren voor producten die actief ondersteund worden door Dell. Mogelijke oplossingen zijn onder andere:
Dell streeft ernaar om de oplossing of corrigerende maatregel zo snel als redelijkerwijs mogelijk is beschikbaar te stellen. De reactietijd is afhankelijk van veel factoren, zoals:
Dell gebruikt de Common Vulnerability Score System (in het Engels) norm, versie 3.1 (CVSS v3.1) om informatie over beveiligingslekken in Dell producten te communiceren. De norm wordt bijgehouden door FIRST.
De CVSS-score biedt een numerieke manier om de ernst van het beveiligingslek te kwantificeren, en houdt rekening met verschillende factoren, waaronder de mate van inspanning die nodig is om een beveiligingslek te misbruiken, evenals de potentiële impact die een dergelijk misbruik van het beveiligingslek kan hebben. Dell vat de beoordeelde impact van een beveiligingslek samen met behulp van een numerieke score, vectorreeks en kwalitatieve weergave van de ernst (d.w.z. Kritiek, Hoog, Gemiddeld, Laag), op basis van de onderstaande schaal:
Ernst | CVSS v3.1-score |
Kritiek | 9,0 – 10 |
Hoog | 7,0 – 8,9 |
Gemiddeld | 4,0 – 6,9 |
Laag | 0,1 – 3,9 |
Dell raadt alle klanten aan deze informatie te gebruiken om de statistieken te bepalen die relevant kunnen zijn voor hun omgeving, om zo de risico's die specifiek zijn voor hun bedrijfsmiddelen of implementatie van Dell producten nauwkeurig te kunnen beoordelen.
Houd er rekening mee dat het niet ongebruikelijk is dat de beoordeling van Dell van een beveiligingslek, CVSS-score en/of Vector String verschilt van de beoordeling van andere bronnen. In geval van een dergelijk verschil gebruikt Dell de informatie in de Dell beveiligingsadviezen als bindende informatiebron.
Dell publiceert beveiligingsadviezen, kennisgevingen en artikelen om te klanten te informeren over beveiligingslekken die van invloed zijn op onze producten.
Beveiligingsadviezen worden uitgebracht om richtlijnen of instructies te geven over hoe klanten zichzelf kunnen beschermen en beveiligingslekken kunnen beperken en/of herstellen zodra Dell oplossingen heeft geanalyseerd en in kaart heeft gebracht.
Beveiligingsaanbevelingen zijn bedoeld om voldoende gegevens te bieden, zodat klanten de impact van beveiligingslekken kunnen inschatten en problemen met mogelijk getroffen producten kunnen oplossen. Echter wordt mogelijk niet alle informatie openbaar gemaakt om te voorkomen dat kwaadwillige personen hiervan misbruik maken om klanten schade toe te brengen.
Normaal gesproken bevatten de beveiligingsaanbevelingen van Dell, waar nodig, de volgende informatie:
Per geval kan Dell een beveiligingsbericht publiceren om een openbaar bekend beveiligingsprobleem te erkennen en een verklaring of ander richtlijnen te geven met betrekking tot wanneer (of waar) aanvullende informatie beschikbaar zal komen.
Dell kan informatieartikelen over beveiliging publiceren om informatie te delen over beveiligingsonderwerpen, zoals:
Dell beveiligingswaarschuwingen en -meldingen zijn beschikbaar op www.Dell.com/support/Security (in het Engels). Informatieve artikelen zijn, indien geverifieerd, beschikbaar via deze koppeling.
Als u een beveiligingsprobleem opmerkt in een product van Dell, vragen we u dit zo snel mogelijk aan ons te melden. Door beveiligingsproblemen tijdig te melden en identificeren, kunnen potentiële risico's voor onze klanten worden voorkomen. Beveiligingsonderzoekers dienen productbeveiligingsrapporten te versturen via de Dell Bugcrowd site (in het Engels). Klanten en partners van enterprise- en commerciële producten kunnen contact opnemen met hun respectievelijke technische supportteam om beveiligingsproblemen in Dell producten te melden. Het technische supportteam, het productteam van het getroffen product en de Dell PSIRT werken vervolgens samen om het gerapporteerde probleem aan te pakken en klanten te helpen bij het treffen van de juiste maatregelen.
Branchegroepen, leveranciers en andere gebruikers die geen toegang hebben tot technische support en/of het bug bounty-programma niet willen doorlopen, kunnen beveiligingsrapporten rechtstreeks via e-mail versturen naar de Dell PSIRT. E-mailberichten en bijlagen moeten bij het verzenden van gevoelige informatie worden versleuteld met behulp van PGP en een Dell PSIRT PGP-sleutel, die u hier kunt downloaden. Dell zal de ontvangst van uw rapport over het openbaar maken van beveiligingslekken bevestigen zodra de omstandigheden dit toestaan.
In alle gevallen zal Dell ernaar streven om uw rapport over het openbaar maken van beveiligingslekken te bevestigen binnen drie (3) werkdagen na ontvangst en updates te leveren over herstel met een frequentie van dertig (30) kalenderdagen of minder.
Bij het melden van een potentieel beveiligingslek willen we u vragen zoveel mogelijk van de gegevens hieronder in te vullen, zodat we de aard en omvang van het gemelde probleem beter kunnen bepalen:
Als een beveiligingslek u toegang biedt tot vertrouwelijke of niet-openbare informatie (met inbegrip van gegevens van derden, persoonsgegevens of informatie die door Dell als intern gebruik, beperkt of hoogst beperkt wordt gemarkeerd), dient u alleen toegang te krijgen tot dergelijke informatie die minimaal noodzakelijk is om het beveiligingslek aan Dell te melden. Afgezien van uw indiening bij Dell, mag u dergelijke informatie niet opslaan, overdragen, gebruiken, bewaren, openbaar maken of kopiëren.
U mag ook geen handelingen uitvoeren die van invloed zijn op de integriteit of beschikbaarheid van Dell systemen, tenzij u de expliciete toestemming van de eigenaar hebt. Doe alleen het minimale dat nodig is om een proof-of-concept te verkrijgen. Als u tijdens uw onderzoek prestatieafname opmerkt of per ongeluk een schending of onderbreking veroorzaakt (zoals toegang tot klantgegevens of serviceconfiguraties), moet u elk gebruik van geautomatiseerde tools stoppen en het incident onmiddellijk melden. Als u zich op enig moment zorgen maakt of niet zeker weet of uw beveiligingsonderzoek in overeenstemming is met dit beleid, neem dan contact op met secure@dell.com voordat u verdergaat.
Gebruik de onderstaande contactpersonen om andere soorten beveiligingsproblemen aan Dell te melden:
Beveiligingsprobleem | Contactgegevens |
Een beveiligingslek of -probleem met betrekking tot Dell.com of een andere online service, de webtoepassing of een product melden; | Dien een rapport in op https://bugcrowd.com/dell-com (in het Engels) met stapsgewijze instructies over hoe we het probleem kunnen reproduceren. |
Als u identiteitsdiefstal vermoedt of een frauduleuze transactie hebt ondervonden met betrekking tot Dell Financial Services. | Zie Beveiliging Dell Financial Services (in het Engels). |
Een privacygerelateerd verzoek indienen of een vraag stellen. | Zie Dell Privacy (in het Engels). |
Dell streeft ernaar zo transparant mogelijk te zijn door informatie te verstrekken over het herstel van kwetsbaarheden in ons beveiligingsadvies en gerelateerde documentatie, waaronder releaseopmerkingen, Knowledge Base-artikelen en FAQ’s (veelgestelde vragen). Dell deelt geen geverifieerde exploits of proof-of-concept-code voor geïdentificeerde beveiligingslekken. Daarnaast deelt Dell, in overeenstemming met de praktijken in de branche, geen testresultaten of proof-of-concepts van interne beveiligingstests of andere soorten vertrouwelijke informatie met externe entiteiten.
De rechten van klanten met betrekking tot garantie, support en onderhoud (waaronder beveiligingslekken in softwareproducten van Dell) zijn uitsluitend gebaseerd op de toepasselijke overeenkomst tussen Dell en elke individuele klant. De verklaringen op deze webpagina zijn geen aanpassing, uitbreiding, of anderszins een wijziging van de klantenrechten, noch dienen zij als aanvullende garanties.
Alle aspecten van dit beleid met betrekking tot reactie op kwetsbaarheden kunnen zonder voorafgaande kennisgeving worden gewijzigd. Berichtgeving wordt niet gegarandeerd voor een specifiek probleem of klasse van problemen. Uw gebruik van de informatie in het document of de materialen die hieraan zijn gekoppeld, is op eigen risico.