Firma Dell aktywnie uczestniczy w różnych inicjatywach społecznościowych, takich jak Forum zespołów ds. bezpieczeństwa i reagowania na incydenty (Forum of Incident Response and Security Teams — FIRST) (po angielsku) i Forum zapewniania oprogramowania w celu doskonalenia kodu (Software Assurance Forum for Excellence in Code — SAFECode) (po angielsku). Nasze procesy i procedury są zgodne ze strukturą usług FIRST PSIRT (po angielsku) oraz innymi normami, takimi jak ISO/IEC 29147:2018 (po angielsku) i ISO/IEC 30111:2019 (po angielsku).
Firma Dell ceni naszych partnerów branżowych i specjalistów zajmujących się badaniem zabezpieczeń, docenia wszystkie uwagi związane z naszymi inicjatywami w zakresie bezpieczeństwa, a także zachęca do odpowiedzialnego i skoordynowanego ujawniania informacji — ponieważ bezpieczeństwo naszych klientów jest dla nas najważniejsze. Naszym celem jest zapewnienie dostępności środków zaradczych lub strategii łagodzących w momencie ujawnienia luk w zabezpieczeniach produktów firmy Dell oraz współpraca z dostawcami zewnętrznymi w przypadku, gdy wymagają jej działania naprawcze.
Zgodnie z tą polityką wszelkie ujawniane informacje o nowych lukach w zabezpieczeniach są uznawane za poufne i do momentu udostępnienia środków zaradczych i skoordynowania działań informacyjnych mogą być wymieniane tylko między firmą Dell i stroną zgłaszającą (jeżeli nie zostały jeszcze publicznie ogłoszone).
Po zbadaniu i zweryfikowaniu zgłoszonej luki w zabezpieczeniach staramy się opracować i wprowadzić odpowiednie środki zaradcze dotyczące produktów objętych aktywną pomocą techniczną firmy Dell. Możliwe są następujące środki zaradcze:
Firma Dell dokłada wszelkich starań, by jak najszybciej udostępniać środki zaradcze lub informacje o działaniach naprawczych. Czas reakcji zależy od wielu czynników, takich jak:
Firma Dell używa standardu Common Vulnerability Scoring System(po angielsku) w wersji 3.1 (CVSS v3.1) w celu informowania o cechach luk w zabezpieczeniach produktów firmy Dell. Standard ten jest aktualizowany przez organizację FIRST.
System oceniania CVSS umożliwia określanie poziomu istotności luki w zabezpieczeniach w sposób numeryczny. Uwzględnia kilka czynników, w tym poziom wysiłku wymaganego do wykorzystania luki w zabezpieczeniach, a także potencjalne skutki jej wykorzystania. Firma Dell podsumowuje ocenione skutki wykorzystania luki w zabezpieczeniach na podstawie wyniku liczbowego, ciągu wektorowego i jakościowej oceny poziomu istotności (który może być krytyczny, wysoki, średni lub niski) zgodnie z poniższą skalą:
Poziom ważności | Ocena CVSS v3.1 |
Krytyczny | 9,0–10 |
Wysoki | 7,0–8,9 |
Średni | 4,0–6,9 |
Niski | 0,1–3,9 |
Firma Dell zaleca, aby wszyscy klienci korzystali z tych informacji do potwierdzania wyników obliczeń wskaźników środowiskowych, które mogą być istotne dla ich środowiska, w celu dokładnej oceny ryzyka związanego z ich zasobami lub wdrażaniem produktów firmy Dell.
Należy pamiętać, że przypadki występowania różnic między oceną luk w zabezpieczeniach firmy Dell, wynikiem CVSS lub ciągiem wektorowym a danymi przekazywanymi z innych źródeł nie należą do rzadkości. W przypadku wystąpienia rozbieżności firma Dell traktuje informacje zawarte w poradnikach zabezpieczeń firmy Dell jako nadrzędne źródło informacji.
Firma Dell publikuje poradniki zabezpieczeń, komunikaty i artykuły informacyjne, aby informować klientów o lukach w zabezpieczeniach, które wpływają na nasze produkty.
Po przeanalizowaniu i zidentyfikowaniu rozwiązań przez firmę Dell publikowane są poradniki zabezpieczeń i instrukcje dotyczące sposobu ochrony, łagodzenia lub usuwania luk w zabezpieczeniach przez klientów.
Poradniki zabezpieczeń zawierają informacje umożliwiające ocenę wpływu luk w zabezpieczeniach i pozwalające na ich usunięcie z produktów, ale mogą nie zawierać wszystkich szczegółów, ponieważ ograniczona ilość danych zmniejsza prawdopodobieństwo wykorzystania tych informacji ze szkodą dla klientów.
Poradniki zabezpieczeń firmy Dell zawierają następujące dane:
W zależności od przypadku firma Dell może opublikować powiadomienie o zabezpieczeniach w celu potwierdzenia publicznie znanej luki w zabezpieczeniach i przekazania oświadczenia lub innych wskazówek dotyczących terminu i miejsca udostępnienia dodatkowych informacji.
Firma Dell może publikować artykuły informacyjne w celu przekazywania wiedzy na różne tematy związane z bezpieczeństwem, takie jak:
Poradniki i powiadomienia dotyczące zabezpieczeń firmy Dell są dostępne w witrynie www.dell.com/support/security (po angielsku). Artykuły informacyjne są dostępne pod tym adresem po uwierzytelnieniu.
Prosimy o niezwłoczne zgłaszanie wszelkich znalezionych luk w zabezpieczeniach produktów firmy Dell. Szybkie zidentyfikowanie i zgłoszenie zagrożeń pozwoli klientom skutecznie uniknąć potencjalnego ryzyka. Specjaliści zajmujący się badaniem zabezpieczeń powinni przesyłać zgłoszenia dotyczące luk w zabezpieczeniach produktów za pośrednictwem witryny Dell Bugcrowd (po angielsku). Klienci i partnerzy w zakresie produktów dla przedsiębiorstw i komercyjnych powinni zgłaszać problemy z bezpieczeństwem produktów firmy Dell za pośrednictwem odpowiedniego zespołu ds. wsparcia technicznego. Zespół ten we współpracy z właściwym zespołem ds. produktu i działem Dell PSIRT zajmie się rozwiązaniem zgłoszonego problemu i przekaże informacje o dalszych czynnościach do wykonania.
Organizacje branżowe, dostawcy i inni użytkownicy, którzy nie mają dostępu do pomocy technicznej lub nie chcą brać udziału w programie nagradzania wykrytych nieprawidłowości, mogą przesyłać zgłoszenia dotyczące luk do działu Dell PSIRT za pośrednictwem poczty e-mail. Wiadomości e-mail i załączniki zawierające poufne informacje należy szyfrować przy użyciu narzędzia PGP i klucza PGP Dell PSIRT, dostępnego do pobrania tutaj. Firma Dell potwierdzi raport dotyczący ujawnienia luki w zabezpieczeniach, gdy tylko pozwolą na to okoliczności.
We wszystkich przypadkach firma Dell będzie dążyć do potwierdzenia raportu dotyczącego ujawnienia luki w zabezpieczeniach w ciągu trzech (3) dni roboczych od daty otrzymania i dostarczania aktualizacji dotyczących działań naprawczych co najmniej raz na trzydzieści (30) dni kalendarzowych.
Aby ułatwić nam zrozumienie istoty i skali problemu, w zgłoszeniu potencjalnej luki należy przekazać jak najwięcej z następujących informacji:
Jeśli luka w zabezpieczeniach zapewnia dostęp do informacji poufnych lub niepublicznych (w tym danych innych firm, danych osobowych lub wszelkich informacji oznaczonych przez firmę Dell jako do użytku wewnętrznego, zastrzeżonych lub wysoce zastrzeżonych), użytkownik powinien uzyskać dostęp do takich informacji tylko w minimalnym zakresie niezbędnym do zgłoszenia luki firmie Dell. Oprócz przesłania do firmy Dell nie należy przechowywać, przekazywać, wykorzystywać, zachowywać, ujawniać ani kopiować takich informacji.
Nie należy również angażować się w żadne działania wpływające na integralność lub dostępność systemów Dell, chyba że użytkownik ma na nie jawne zezwolenie właściciela. Należy wykonać tylko minimalne czynności niezbędne do uzyskania dowodu koncepcji. W przypadku zauważenia pogorszenia wydajności podczas badania bądź nieumyślnego spowodowania naruszenia lub zakłócenia (takiego jak uzyskanie dostępu do danych lub konfiguracji usług klienta) należy zaprzestać korzystania ze zautomatyzowanych narzędzi i niezwłocznie zgłosić zdarzenie. Jeśli w dowolnym momencie pojawią się obawy lub wystąpi brak pewności, czy badania bezpieczeństwa są zgodne z tą polityką, przed ich kontynuowaniem należy o to zapytać, wysyłając wiadomość e-mail na adres secure@dell.com.
Aby zgłosić firmie Dell inny problem dotyczący zabezpieczeń, należy skorzystać z odpowiednich informacji kontaktowych poniżej:
Problem z bezpieczeństwem | Dane do kontaktu |
Zgłaszanie luk w zabezpieczeniach, problemów z witryną Dell.com oraz innymi usługami online, aplikacjami internetowymi i zasobami. | Prześlij zgłoszenie na stronie https://bugcrowd.com/dell-com (po angielsku) i podaj instrukcje krok po kroku pozwalające odtworzyć problem. |
Przypadki podejrzenia kradzieży tożsamości lub wystąpienia oszustwa podczas transakcji związanej z usługami działu Dell Financial Services. | Skorzystaj ze strony Dell Financial Services dotyczącej zabezpieczeń (po angielsku). |
Przesyłanie wniosków i zapytań dotyczących prywatności. | Skorzystaj ze strony Ochrona prywatności w firmie Dell (po angielsku). |
Firma Dell stara się być jak najbardziej przejrzysta, dostarczając informacji na temat działań naprawczych związanych z lukami w zabezpieczeniach zawartych w poradniku dotyczącym zabezpieczeń i powiązanej dokumentacji, które mogą obejmować informacje dotyczące wydania, artykuły z bazy wiedzy i odpowiedzi na często zadawane pytania. Nie udostępniamy kodów zweryfikowanych sposobów wykorzystania luk ani kodów weryfikacji koncepcji dotyczących zidentyfikowanych luk w zabezpieczeniach. Ponadto, zgodnie ze standardami branżowymi, firma Dell nie udostępnia innym podmiotom wyników weryfikacji koncepcji uzyskanych podczas wewnętrznych testów bezpieczeństwa ani innych poufnych informacji.
Uprawnienia klientów firmy Dell dotyczące gwarancji, pomocy technicznej i usług konserwacji (również w zakresie luk w zabezpieczeniach oprogramowania Dell) są określone wyłącznie w stosownych umowach zawartych między firmą Dell i poszczególnymi klientami. Oświadczenia na niniejszej stronie nie zmieniają ani nie rozszerzają praw klientów ani nie stanowią dodatkowej gwarancji.
Wszystkie aspekty zasad firmy Dell dotyczących reagowania na luki w zabezpieczeniach mogą ulec zmianie bez powiadomienia. Nie gwarantujemy udzielenia odpowiedzi na żadne konkretne problemy lub klasy problemów. Korzystanie z informacji zawartych w niniejszym dokumencie lub wymienionych tutaj materiałach odbywa się na własne ryzyko.