Dell deltar aktivt i ulike fellesskapstiltak inkludert Forum of Incident Response and Response Teams (FIRST)(på engelsk) og Software Assurance Forum for Excellence in Code (SAFECode)(på engelsk). Prosessene og prosedyrene våre samsvarer med FIRST PSIRT Services Framework(på engelsk) i tillegg til andre standarder, inkludert ISO/IEC 29147:2018(på engelsk) og ISO/IEC 30111:2019(på engelsk).
Dell verdsetter bransjepartnerne og sikkerhetsforskerne våre, setter pris på alle bidrag til sikkerhetsinitiativene våre og oppmuntrer ansvarlig og koordinert oppgivelse av informasjon, da sikkerheten til kundene våre er av avgjørende betydning. Målet vårt er å sikre at hjelpemidler og/eller begrensende strategier er tilgjengelige på tidspunktet for offentliggjøring av Dell-spesifikke sårbarheter, og samarbeide med tredjepartsleverandører når utbedring krever samarbeid.
I henhold til denne policyen anses all informasjon om nye sårbarheter som konfidensielle, og skal bare deles mellom Dell og rapporteringsparten hvis informasjonen ikke allerede er offentlig kjent før et hjelpemiddel er tilgjengelig og aktiviteter for offentliggjøring koordineres.
Etter å ha undersøkt og vurdert et rapportert sikkerhetsproblem, forsøker vi å utvikle og kvalifisere riktig løsning for produkter som er under aktiv kundestøtte fra Dell. Et hjelpemiddel kan innebære én eller flere av følgende former:
Dell gjør sitt ytterste for å finne en løsning eller et korrigerende tiltak på kortest mulig kommersiell akseptabel tid. Svartidslinjene avhenger av mange faktorer, for eksempel:
Dell bruker standarden Common Vulnerability Scoring System(på engelsk) , versjon 3.1 (CVSS v3.1) til å kommunisere egenskapene til sårbarheter i Dell-produkter. Standarden vedlikeholdes av FIRST.
CVSS-poengsum gir en numerisk måte å kvantifisere alvorlighetsgraden for sårbarheten, og tar hensyn til flere faktorer inkludert innsatsnivået som kreves for å utnytte en sårbarhet, i tillegg til den potensielle påvirkningen dersom sårbarheten utnyttes. Dell oppsummerer den vurderte effekten av en sårbarhet ved hjelp av en numerisk poengsum, vektorstreng og kvalitativ fremstilling av alvorlighetsgraden (det vil si én av kritiske, høye, middels, lave), i henhold til skalaen som er vedlagt nedenfor:
Alvorlighetsgrad | CVSS-poengsum v3.1 |
Kritisk | 9.0–10 |
Høy | 7,0–8,9 |
Middels | 4,0–6,9 |
Lav | 0,1–3,9 |
Dell anbefaler at alle kunder bruker denne informasjonen til å støtte beregningen av miljømålinger som kan være relevante for miljøet deres, for å vurdere risikoen som er spesifikk for ressurser eller implementering av Dell-produkter nøyaktig.
Vær oppmerksom på at det ikke er uvanlig at vurderingen fra Dell av en sårbarhet, CVSS-poengsum og/eller vektorstreng avviker fra vurderinger som oppgis av andre kilder. Hvis det oppstår avvik, vil Dell bruke informasjonen i sikkerhetsveiledningene fra Dell som den autoritative informasjonskilden.
Dell publiserer sikkerhetsveiledninger, merknader og informasjonsartikler for å kommunisere med kunder om sårbarheter som påvirker produktene våre.
Sikkerhetsveiledninger utgis for å gi veiledning eller instruksjoner om hvordan kundene kan beskytte seg selv, redusere og/eller utbedre sårbarheter når Dell har analysert og identifisert løsninger.
Sikkerhetsveiledningene er ment å gi tilstrekkelig informasjon slik at kundene kan vurdere påvirkningen av sikkerhetsproblemer og utbedre potensielt sårbare produkter. Informasjonen kan imidlertid være begrenset for å redusere sannsynligheten for at ondsinnede brukere kan dra nytte av opplysningene og utnytte disse til skade for kundene våre.
Sikkerhetsveiledningene fra Dell omfatter følgende informasjon der det er aktuelt:
Fra sak til sak kan Dell publisere en sikkerhetsmerknad for å bekrefte en offentlig kjent sårbarhet, og gi en erklæring eller annen veiledning angående når (eller hvor) tilleggsinformasjon vil være tilgjengelig.
Dell kan publisere sikkerhetsrelaterte informasjonsartikler for å dele informasjon om sikkerhetsrelaterte emner, for eksempel:
Hvis du vil ha informasjon om Dells sikkerhetsveiledninger og merknader, kan du gå til www.dell.com/support/security(på engelsk). Informasjonsartikler er tilgjengelige på denne koblingen når de godkjennes.
Hvis du har identifisert en sikkerhetssårbarhet i et Dell-produkt, må du rapportere det umiddelbart til oss. Rask identifisering og rapportering av sikkerhetsproblemer er avgjørende for å begrense potensielle risikoer for kundene våre. Sikkerhetsforskere bør sende inn rapporter om produktsårbarhet via Dell Bugcrowd-nettstedet(på engelsk). Kunder og partnere for virksomhetsprodukter og kommersielle produkter bør kontakte sine respektive team for teknisk støtte for å rapportere eventuelle sikkerhetsproblemer som er oppdaget i Dell-produkter. Teknisk støtteteam, riktig produktteam og Dell PSIRT arbeider sammen for å løse problemet som rapporteres, og hjelpe kundene med neste trinn.
Bransjegrupper, leverandører og andre brukere som ikke har tilgang til teknisk støtte og/eller som ikke ønsker å gå via Bug Bounty-programmet, kan sende sårbarhetsrapporter direkte til Dell PSIRT via e-post. E-postmeldinger og vedlegg skal krypteres når sensitive opplysninger overføres, ved hjelp av PGP og en Dell PSIRT PGP-nøkkel, som er tilgjengelig for nedlasting her. Dell vil bekrefte rapporten om offentliggjøring av sikkerhetsproblemer så snart situasjonen tillater det.
I alle tilfeller vil Dell strebe for å bekrefte rapporten tilknyttet sårbarheten innen tre (3) virkedager etter at de har mottatt den, og de vil gi oppdateringer om utbedring med en hyppighet på tretti (30) kalenderdager eller færre.
Når du rapporterer potensielle sikkerhetsproblemer, må du legge ved så mye som mulig av informasjonen nedenfor, slik at vi bedre kan forstå problemet som rapporteres og omfanget av dette:
Hvis et sikkerhetsproblem gir deg tilgang til konfidensiell eller ikke-offentlig informasjon (inkludert data fra tredjeparter, personopplysninger og informasjon som er merket av Dell som intern bruk, begrenset eller svært begrenset), skal du ikke se på denne informasjon mer enn absolutt nødvendig for å rapportere sikkerhetsproblemet til Dell. Bortsett fra innsendingen til Dell skal du ikke lagre, overføre, bruke, beholde, offentliggjøre eller kopiere slik informasjon.
Du bør heller ikke gjøre noe som påvirker integriteten eller tilgjengeligheten til Dell-systemer, med mindre du har eierens uttrykkelige tillatelse. Gjør bare det minste som er nødvendig for å få et bevis på konsept. Hvis du oppdager redusert ytelse under undersøkelsen eller utilsiktet forårsaker brudd eller avbrudd (for eksempel tilgang til kundedata eller tjenestekonfigurasjoner), må du stoppe all bruk av automatiserte verktøy og rapportere hendelsen umiddelbart. Hvis du når som helst er bekymret eller er usikker på om sikkerhetsundersøkelsene dine er i samsvar med denne policyen, kan du spørre secure@dell.com før du fortsetter.
Bruk de aktuelle kontaktene som er oppført nedenfor for å rapportere andre typer sikkerhetsproblemer til Dell:
Sikkerhetsproblem | Kontaktinformasjon |
Slik rapporterer du sårbarhet eller problemer i Dell.com eller andre tjenester på nett, nettapplikasjoner eller eiendom. | Send inn en rapport på https://bugcrowd.com/dell-com(på engelsk) med trinnvise instruksjoner for å reprodusere problemet. |
Hvis du mistenker identitetstyveri, eller har opplevd en straffbar transaksjon knyttet til Dell Financial Services. | Se Dell Financial Services Security(på engelsk). |
Slik sender du inn personvernrelaterte forespørsler eller spørsmål. | Se Dell-personvern(på engelsk). |
Dell jobber for å være så åpen som mulig ved å gi informasjon om tiltak for utbedring av sikkerhetsproblemer i vår sikkerhetsveiledning og relatert dokumentasjon, som kan inkludere produktmerknader, kunnskapsbaseartikler og vanlige spørsmål. Dell deler ikke verifiserte tiltak eller bevis på konseptkode for identifiserte sikkerhetsproblemer. I henhold til bransjepraksis deler heller ikke Dell testresultater eller bevis på konsept fra intern sikkerhetstesting eller andre typer privilegert informasjon med eksterne enheter.
Rettigheter for Dell-kunder med hensyn til service, kundestøtte og vedlikehold – inkludert sårbarheter i et Dell-programvareprodukt – styres utelukkende av en gjeldende avtale mellom Dell og hver enkelt kunde. Uttalelsene på denne nettsiden endrer ikke, utvider eller på annen måte korrigerer kunderettigheter eller oppretter eventuelle ekstra garantier.
Alle aspekter ved denne policyen for svar om sikkerhetsproblemer kan endres uten varsel. Svaret er ikke garantert for noe bestemt problem eller klasse av problemer. Bruken din av informasjonen eller materialet i dette dokumentet som er knyttet til dette, er på egen risiko.