Avançar para o conteúdo principal
Terminar sessão

Damos-lhe as boas-vindas à Dell

Minha conta
  • Efetuar encomendas de forma rápida e fácil
  • Ver todas as encomendas e controlar o seu estado de expedição
  • Criar e aceder a uma lista dos seus produtos
  • Gerencie seus sites, produtos e contatos de nível de produto da Dell EMC usando o Company Administration.
Iniciar sessão Criar uma conta Início de sessão Premier Início de sessão no programa de parceiros
Contacte-nos

Política de resposta a vulnerabilidades da Dell

Introdução

A Dell ajuda os clientes a minimizar os riscos associados às vulnerabilidades de segurança em nossos produtos. Nosso objetivo é dar a eles informações pontuais, orientações e opções de redução para resolver essas vulnerabilidades. A Equipe de resposta a incidentes de segurança de produtos Dell (Dell PSIRT) é responsável por coordenar a resposta e a divulgação de todas as vulnerabilidades dos produtos Dell.

A Dell participa ativamente de várias iniciativas comunitárias(em inglês), como o Forum of Incident Response and Response Teams (FIRST)(em inglês) e o Software Assurance Forum for Excellence in Code (SAFECode)(em inglês). Nossos processos e procedimentos seguem a FIRST PSIRT Services Framework(em inglês), bem como outras normas, como ISO/IEC 29147:2018(em inglês) e ISO/IEC 30111:2019(em inglês).

Como seguir os relatórios de vulnerabilidade

Na Dell, valorizamos nossos parceiros do setor e pesquisadores de segurança, reconhecemos todas as contribuições para nossas iniciativas de segurança e incentivamos a divulgação responsável e coordenada, pois a segurança de nossos clientes é uma preocupação primordial. Nosso objetivo é garantir que resoluções e/ou estratégias de redução estejam disponíveis no momento da divulgação de vulnerabilidades específicas da Dell e trabalhar com fornecedores terceirizados quando a correção exigir a colaboração deles.

Conforme essa política, todas as informações divulgadas sobre novas vulnerabilidades são consideradas sigilosas e devem ser compartilhadas entre a Dell e o grupo responsável pelos relatórios, se já não forem de conhecimento público, até que uma resolução esteja disponível e as atividades de divulgação sejam coordenadas.

Correção de vulnerabilidade

Depois de investigar e validar uma vulnerabilidade relatada, tentaremos desenvolver e qualificar uma resolução adequada para os produtos com suporte ativo da Dell. Uma resolução pode ocorrer de uma ou mais das seguintes formas:

  • Uma nova versão do produto afetado é oferecida pela Dell;
  • Um patch oferecido pela Dell pode ser instalado como correção para o produto afetado;
  • Instruções são oferecidas para fazer download e instalar uma atualização ou patch de um componente de terceiros exigido para reduzir a vulnerabilidade;
  • Um procedimento corretivo ou uma resolução temporária publicada pela Dell que orienta os usuários sobre as medidas que podem ser tomadas para reduzir a vulnerabilidade.

A Dell se esforça ao máximo para oferecer a resolução ou a ação corretiva no menor tempo comercialmente razoável. Os cronogramas de resposta dependem de muitos fatores, como:

  • severidade da vulnerabilidade;
  • complexidade da vulnerabilidade;
  • escopo da capacidade afetada;
  • esforço/impacto para corrigir;
  • ciclo de vida do produto.

Como a Dell classifica a severidade e o impacto das vulnerabilidades

A Dell usa a norma Common Vulnerability Scoring System(em inglês), versão 3.1 (CVSS v3.1) para informar as características das vulnerabilidades em produtos Dell. A norma é mantida pelo FIRST.

A pontuação do CVSS é um modo de quantificar em um número a severidade da vulnerabilidade. Ela considera vários fatores, como o nível de esforço necessário para explorar uma vulnerabilidade e o possível impacto caso a vulnerabilidade seja explorada. A Dell resumirá o impacto avaliado de uma vulnerabilidade por meio de uma pontuação numérica, cadeia de vetores e representação qualitativa da severidade (crítica, alta, média, baixa), de acordo com a escala abaixo:

Severidade

Pontuação do CVSS v3.1

Essencial

9,0 a 10

Alto

7,0 a 8,9

Médio

4,0 a 6,9

Baixo

0,1 a 3,9

A Dell recomenda que todos os clientes usem essas informações para calcular as métricas ambientais que podem ser relevantes para seu próprio ambiente, a fim de avaliar com precisão o risco específico para seus ativos ou para a implementação de produtos Dell.

É comum que a avaliação de uma vulnerabilidade, a pontuação do CVSS e/ou cadeia de vetores feitas pela Dell sejam diferentes das oferecidas por outras fontes. Em caso de discrepância, a Dell usará as informações contidas nos aconselhamentos de segurança da Dell como fonte oficial de informações.

Comunicações externas

A Dell publica aconselhamentos de segurança, avisos e artigos informativos para se comunicar com os clientes sobre vulnerabilidades de segurança que afetam nossos produtos.

Os aconselhamentos de segurança são publicados para orientar ou dar instruções sobre como os clientes podem se proteger, reduzir e/ou corrigir vulnerabilidades depois que a Dell tiver analisado e identificado soluções.

O objetivo dessas recomendações é oferecer informações suficientes aos clientes. Dessa forma, eles poderão avaliar o impacto das vulnerabilidades e resolver os produtos potencialmente afetados. No entanto, alguns dados podem ser omitidos para reduzir a probabilidade de que agentes mal-intencionados se aproveitem das informações divulgadas para prejudicar nossos clientes.

Os avisos de segurança da Dell, no geral, incluem as seguintes informações, se for o caso:

  • o impacto geral, que é uma representação textual da severidade (ou seja, crítica, alta, média e baixa) calculada usando a escala de classificação de severidade qualitativa do CVSS para obter a maior pontuação básica de CVSS de todas as vulnerabilidades identificadas;
  • produtos e versões afetados;
  • a pontuação e o vetor base do CVSS para todas as vulnerabilidades identificadas;
  • identificador de vulnerabilidades e exposições comuns(em inglês) (CVE) de todas as vulnerabilidades identificadas para que as informações de cada vulnerabilidade exclusiva sejam compartilhadas entre vários recursos de gerenciamento de vulnerabilidades (por exemplo, ferramentas como verificadores de vulnerabilidade, repositórios e serviços);
  • breve descrição da vulnerabilidade e impacto potencial se ela for usada indevidamente;
  • detalhes da correção com informações de atualização/solução temporária;
  • informações das categorias de vulnerabilidade:
    • código privado: hardware, software ou firmware desenvolvidos pela Dell.
    • componente de terceiros: hardware, software ou firmware distribuídos livremente por pacotes ou integrados a um produto Dell;
  • referências adicionais conforme aplicável.

Em casos especiais, a Dell pode publicar um aviso de segurança para reconhecer uma vulnerabilidade de segurança publicamente conhecida e emitir uma declaração ou outra orientação sobre quando (ou onde) mais informações estarão disponíveis.

A Dell pode publicar artigos informativos relacionados à segurança para compartilhar dados sobre tópicos do mesmo assunto, como:

  • novos recursos de reforço de segurança acrescentados;
  • guias e práticas recomendadas de configuração de segurança específicos para um produto;
  • vulnerabilidades de segurança em componentes de terceiros, identificados por ferramentas de verificação de vulnerabilidades, mas que não podem ser exploradas de dentro do produto especificado;
  • instruções de instalação para aplicar atualizações de segurança específicas;
  • informações sobre o efeito das atualizações de segurança em requisitos correlacionados de produtos que não sejam da Dell e pré-requisitos que podem ter um impacto sobre os produtos Dell.

Os avisos e comunicados de segurança da Dell se encontram em www.dell.com/support/security(em inglês). Os artigos informativos estão disponíveis neste link quando autenticados.

Como relatar uma vulnerabilidade de proteção

Se você identificar uma vulnerabilidade de segurança em qualquer produto Dell, pedimos que nos informe imediatamente. Identificar e relatar as vulnerabilidades de segurança imediatamente é essencial para reduzir os possíveis riscos aos nossos clientes. Os pesquisadores de segurança devem enviar relatórios de vulnerabilidade de produtos por meio do site Dell Bugcrowd(em inglês).  Os clientes e parceiros de produtos empresariais e comerciais devem entrar em contato com a respectiva equipe de suporte técnico para relatar quaisquer problemas de segurança detectados nos produtos Dell. As equipes de suporte técnico, do produto em questão e de resposta a incidentes da Dell trabalham juntar para solucionar o problema relatado e instruir os clientes nas etapas seguintes.

Grupos, fornecedores e outros usuários do setor que não tenham acesso ao suporte técnico e/ou não queiram passar pelo programa de recompensas por bugs podem enviar relatórios de vulnerabilidade diretamente para o Dell PSIRT por e-mail. Mensagens de e-mail e anexos devem ser criptografados ao se transmitir informações confidenciais usando PGP e uma chave PGP da equipe de resposta a incidentes de segurança de produtos Dell, que está disponível para download aqui. A Dell confirmará o relatório de divulgação de vulnerabilidades assim que possível.

Em todos os casos, a Dell se esforçará para confirmar seu relatório de divulgação de vulnerabilidades dentro de três (3) dias úteis a partir do recebimento e informará atualizações sobre correção com uma frequência de trinta (30) dias corridos ou menos.

Ao relatar uma vulnerabilidade em potencial, inclua o máximo possível das seguintes informações para nos ajudar a entender melhor a natureza e o escopo do problema informado:

  • nome do produto e versão com a possível fraqueza/vulnerabilidade;
  • informações do ambiente ou do sistema em que o problema foi reproduzido (por exemplo: número do modelo do produto, versão do sistema operacional e outras informações relacionadas);
  • Common Weakness Enumeration (CWE) e tipo e/ou classe da vulnerabilidade (por exemplo, script entre locais, estouro de buffer, negação de serviço, execução remota de código);
  • instruções passo a passo para reproduzir a vulnerabilidade;
  • código de exploração ou prova de conceito;
  • possível impacto da vulnerabilidade.

Diretrizes de conduta do pesquisador

Se uma vulnerabilidade oferecer acesso a informações confidenciais ou não públicas (como dados de terceiros, dados pessoais ou quaisquer informações classificadas como Uso interno, Restrito ou Altamente restrito), você só deverá acessar essas informações o mínimo necessário para relatar a vulnerabilidade a Dell. Além do envio para a Dell, você não deve armazenar, transferir, usar, manter, divulgar nem copiar essas informações.

Você também não deve se envolver em nenhuma ação que afete a integridade ou a disponibilidade dos sistemas Dell, a menos que tenha a permissão explícita do proprietário. Faça apenas o mínimo necessário para conseguir uma prova de conceito. Se você observar degradação do desempenho durante a pesquisa ou causar inadvertidamente uma violação ou disrupção (como acessar os dados do cliente ou configurações de serviço), interrompa qualquer uso de ferramentas automatizadas e relate o incidente imediatamente. Se, em algum momento, você tiver dúvidas sobre a conformidade da pesquisa de segurança com essa política, envie uma mensagem para secure@dell.com antes de continuar.

Como notificar a Dell sobre outros problemas de segurança

Use os contatos apropriados listados abaixo para relatar outros tipos de problemas de segurança à Dell:

Problema de segurança

Informações de contato

Para informar uma vulnerabilidade ou um problema de segurança em Dell.com ou outro serviço on-line, aplicativo da Web ou propriedade da Dell.

Envie um relatório em https://bugcrowd.com/dell-com(em inglês) com instruções detalhadas sobre como reproduzir o problema.

Se você suspeitar de roubo de identidade ou tiver sofrido uma transação fraudulenta relacionada ao Dell Financial Services.

Consulte a página de segurança do Dell Financial Services(em inglês).

Para enviar perguntas ou pedidos de privacidade.

Consulte a página de privacidade da Dell(em inglês).

Limitações

A Dell se esforça para ser o mais transparente possível, oferecendo informações sobre as iniciativas de correção de vulnerabilidades em nosso Aviso de segurança e documentação relacionada, que podem incluir notas da versão, artigos da base de conhecimento e perguntas frequentes.  A Dell não compartilha explorações verificadas ou código de prova de conceito das vulnerabilidades identificadas. Além disso, em conformidade com as práticas do setor, a Dell não compartilha provas de conceito ou resultados de testes de segurança internos, nem outros tipos de informações privilegiadas com pessoas jurídicas externas.

Direitos do cliente: garantias, suporte e manutenção

Os direitos dos clientes da Dell em relação a garantias, suporte e manutenção, inclusive vulnerabilidades em qualquer produto de software Dell, são regidos exclusivamente pelo acordo vigente entre a Dell e o cliente em específico. As declarações contidas nesta página da Web não modificam, ampliam ou alteram quaisquer direitos do cliente nem criam garantias adicionais.

Aviso de isenção de responsabilidade

Todos os aspectos desta Política de resposta a vulnerabilidades estão sujeitos a alterações sem aviso prévio. A resposta não é garantida para qualquer problema ou classe de problemas específicos. O uso das informações neste documento ou dos materiais vinculados é de sua responsabilidade e risco.