A Dell ajuda os clientes a minimizar os riscos associados às vulnerabilidades de segurança em nossos produtos. Nosso objetivo é dar a eles informações pontuais, orientações e opções de redução para resolver essas vulnerabilidades. A Equipe de resposta a incidentes de segurança de produtos Dell (Dell PSIRT) é responsável por coordenar a resposta e a divulgação de todas as vulnerabilidades dos produtos Dell.
A Dell participa ativamente de várias iniciativas comunitárias(em inglês), como o Forum of Incident Response and Response Teams (FIRST)(em inglês) e o Software Assurance Forum for Excellence in Code (SAFECode)(em inglês). Nossos processos e procedimentos seguem a FIRST PSIRT Services Framework(em inglês), bem como outras normas, como ISO/IEC 29147:2018(em inglês) e ISO/IEC 30111:2019(em inglês).
Na Dell, valorizamos nossos parceiros do setor e pesquisadores de segurança, reconhecemos todas as contribuições para nossas iniciativas de segurança e incentivamos a divulgação responsável e coordenada, pois a segurança de nossos clientes é uma preocupação primordial. Nosso objetivo é garantir que resoluções e/ou estratégias de redução estejam disponíveis no momento da divulgação de vulnerabilidades específicas da Dell e trabalhar com fornecedores terceirizados quando a correção exigir a colaboração deles.
Conforme essa política, todas as informações divulgadas sobre novas vulnerabilidades são consideradas sigilosas e devem ser compartilhadas entre a Dell e o grupo responsável pelos relatórios, se já não forem de conhecimento público, até que uma resolução esteja disponível e as atividades de divulgação sejam coordenadas.
Depois de investigar e validar uma vulnerabilidade relatada, tentaremos desenvolver e qualificar uma resolução adequada para os produtos com suporte ativo da Dell. Uma resolução pode ocorrer de uma ou mais das seguintes formas:
A Dell se esforça ao máximo para oferecer a resolução ou a ação corretiva no menor tempo comercialmente razoável. Os cronogramas de resposta dependem de muitos fatores, como:
A Dell usa a norma Common Vulnerability Scoring System(em inglês), versão 3.1 (CVSS v3.1) para informar as características das vulnerabilidades em produtos Dell. A norma é mantida pelo FIRST.
A pontuação do CVSS é um modo de quantificar em um número a severidade da vulnerabilidade. Ela considera vários fatores, como o nível de esforço necessário para explorar uma vulnerabilidade e o possível impacto caso a vulnerabilidade seja explorada. A Dell resumirá o impacto avaliado de uma vulnerabilidade por meio de uma pontuação numérica, cadeia de vetores e representação qualitativa da severidade (crítica, alta, média, baixa), de acordo com a escala abaixo:
Severidade | Pontuação do CVSS v3.1 |
Essencial | 9,0 a 10 |
Alto | 7,0 a 8,9 |
Médio | 4,0 a 6,9 |
Baixo | 0,1 a 3,9 |
É comum que a avaliação de uma vulnerabilidade, a pontuação do CVSS e/ou cadeia de vetores feitas pela Dell sejam diferentes das oferecidas por outras fontes. Em caso de discrepância, a Dell usará as informações contidas nos aconselhamentos de segurança da Dell como fonte oficial de informações.
A Dell publica aconselhamentos de segurança, avisos e artigos informativos para se comunicar com os clientes sobre vulnerabilidades de segurança que afetam nossos produtos.
Os aconselhamentos de segurança são publicados para orientar ou dar instruções sobre como os clientes podem se proteger, reduzir e/ou corrigir vulnerabilidades depois que a Dell tiver analisado e identificado soluções.
O objetivo dessas recomendações é oferecer informações suficientes aos clientes. Dessa forma, eles poderão avaliar o impacto das vulnerabilidades e resolver os produtos potencialmente afetados. No entanto, alguns dados podem ser omitidos para reduzir a probabilidade de que agentes mal-intencionados se aproveitem das informações divulgadas para prejudicar nossos clientes.
Os avisos de segurança da Dell, no geral, incluem as seguintes informações, se for o caso:
Em casos especiais, a Dell pode publicar um aviso de segurança para reconhecer uma vulnerabilidade de segurança publicamente conhecida e emitir uma declaração ou outra orientação sobre quando (ou onde) mais informações estarão disponíveis.
A Dell pode publicar artigos informativos relacionados à segurança para compartilhar dados sobre tópicos do mesmo assunto, como:
Os avisos e comunicados de segurança da Dell se encontram em www.dell.com/support/security(em inglês). Os artigos informativos estão disponíveis neste link quando autenticados.
Se você identificar uma vulnerabilidade de segurança em qualquer produto Dell, pedimos que nos informe imediatamente. Identificar e relatar as vulnerabilidades de segurança imediatamente é essencial para reduzir os possíveis riscos aos nossos clientes. Os pesquisadores de segurança devem enviar relatórios de vulnerabilidade de produtos por meio do site Dell Bugcrowd(em inglês). Os clientes e parceiros de produtos empresariais e comerciais devem entrar em contato com a respectiva equipe de suporte técnico para relatar quaisquer problemas de segurança detectados nos produtos Dell. As equipes de suporte técnico, do produto em questão e de resposta a incidentes da Dell trabalham juntar para solucionar o problema relatado e instruir os clientes nas etapas seguintes.
Grupos, fornecedores e outros usuários do setor que não tenham acesso ao suporte técnico e/ou não queiram passar pelo programa de recompensas por bugs podem enviar relatórios de vulnerabilidade diretamente para o Dell PSIRT por e-mail. Mensagens de e-mail e anexos devem ser criptografados ao se transmitir informações confidenciais usando PGP e uma chave PGP da equipe de resposta a incidentes de segurança de produtos Dell, que está disponível para download aqui. A Dell confirmará o relatório de divulgação de vulnerabilidades assim que possível.
Em todos os casos, a Dell se esforçará para confirmar seu relatório de divulgação de vulnerabilidades dentro de três (3) dias úteis a partir do recebimento e informará atualizações sobre correção com uma frequência de trinta (30) dias corridos ou menos.
Ao relatar uma vulnerabilidade em potencial, inclua o máximo possível das seguintes informações para nos ajudar a entender melhor a natureza e o escopo do problema informado:
Se uma vulnerabilidade oferecer acesso a informações confidenciais ou não públicas (como dados de terceiros, dados pessoais ou quaisquer informações classificadas como Uso interno, Restrito ou Altamente restrito), você só deverá acessar essas informações o mínimo necessário para relatar a vulnerabilidade a Dell. Além do envio para a Dell, você não deve armazenar, transferir, usar, manter, divulgar nem copiar essas informações.
Você também não deve se envolver em nenhuma ação que afete a integridade ou a disponibilidade dos sistemas Dell, a menos que tenha a permissão explícita do proprietário. Faça apenas o mínimo necessário para conseguir uma prova de conceito. Se você observar degradação do desempenho durante a pesquisa ou causar inadvertidamente uma violação ou disrupção (como acessar os dados do cliente ou configurações de serviço), interrompa qualquer uso de ferramentas automatizadas e relate o incidente imediatamente. Se, em algum momento, você tiver dúvidas sobre a conformidade da pesquisa de segurança com essa política, envie uma mensagem para secure@dell.com antes de continuar.
Use os contatos apropriados listados abaixo para relatar outros tipos de problemas de segurança à Dell:
Problema de segurança | Informações de contato |
Para informar uma vulnerabilidade ou um problema de segurança em Dell.com ou outro serviço on-line, aplicativo da Web ou propriedade da Dell. | Envie um relatório em https://bugcrowd.com/dell-com(em inglês) com instruções detalhadas sobre como reproduzir o problema. |
Se você suspeitar de roubo de identidade ou tiver sofrido uma transação fraudulenta relacionada ao Dell Financial Services. | Consulte a página de segurança do Dell Financial Services(em inglês). |
Para enviar perguntas ou pedidos de privacidade. | Consulte a página de privacidade da Dell(em inglês). |
A Dell se esforça para ser o mais transparente possível, oferecendo informações sobre as iniciativas de correção de vulnerabilidades em nosso Aviso de segurança e documentação relacionada, que podem incluir notas da versão, artigos da base de conhecimento e perguntas frequentes. A Dell não compartilha explorações verificadas ou código de prova de conceito das vulnerabilidades identificadas. Além disso, em conformidade com as práticas do setor, a Dell não compartilha provas de conceito ou resultados de testes de segurança internos, nem outros tipos de informações privilegiadas com pessoas jurídicas externas.
Os direitos dos clientes da Dell em relação a garantias, suporte e manutenção, inclusive vulnerabilidades em qualquer produto de software Dell, são regidos exclusivamente pelo acordo vigente entre a Dell e o cliente em específico. As declarações contidas nesta página da Web não modificam, ampliam ou alteram quaisquer direitos do cliente nem criam garantias adicionais.
Todos os aspectos desta Política de resposta a vulnerabilidades estão sujeitos a alterações sem aviso prévio. A resposta não é garantida para qualquer problema ou classe de problemas específicos. O uso das informações neste documento ou dos materiais vinculados é de sua responsabilidade e risco.