Dell strävar efter att hjälpa kunderna minimera de risker som förknippas med säkerhetssårbarheter i våra produkter. Vårt mål är att ge kunderna snabb information, vägledning och alternativ för att åtgärda sårbarheter. Dells PSIRT (Product Security Incident Response Team) ansvarar för att koordinera åtgärder och meddelanden om alla produktsårbarheter som påverkar Dell-produkter.
Dell deltar aktivt i olika gemensamma insatser (på engelska), bland annat Forum of Incident Response and Response Teams (FIRST) (på engelska) och Software Assurance Forum for Excellence in Code (SAFECode) (på engelska). Våra processer och procedurer följer FIRST PSIRT-ramverket för tjänster (på engelska), liksom andra standarder som ISO/IEC 29147:2018 (på engelska) och ISO/IEC 30111:2019 (på engelska).
Dell värdesätter branschpartner och säkerhetsforskare, uppskattar alla bidrag till våra säkerhetsinitiativ och uppmuntrar till ansvarsfull och samordnad rapportering eftersom vi sätter kundernas säkerhet i första rummet. Vårt mål är att säkerställa att det finns åtgärder och/eller riskminskningsstrategier tillgängliga när Dell-specifika sårbarheter redovisas, och att samarbeta med tredjepartsleverantörer när åtgärder kräver samarbete från deras sida.
Enligt denna policy betraktas all information som rapporteras om nya sårbarheter som konfidentiell och ska endast delas mellan Dell och den rapporterande parten (om inte informationen redan är allmänt känd) tills en korrigeringsåtgärd finns tillgänglig och informationsinsatser har samordnats.
Efter undersökning och validering av en rapporterad sårbarhet kommer vi att sträva efter att utveckla en lämplig åtgärd för produkter som omfattas av aktiv support från Dell. En åtgärd kan ske genom ett eller flera av följande sätt:
Dell gör sitt bästa för att tillhandahålla en korrigerande åtgärd på kortast möjliga affärsmässiga tid. Svarstider beror på många olika faktorer, bland annat:
Dell använder standarden Common Vulnerability Scoring System (på engelska), version 3.1 (CVSS v3.1) för att beskriva egenskaperna hos sårbarheter i Dell-produkter. Standarden upprätthålls av FIRST.
CVSS-poängsättning ger ett numeriskt sätt att beräkna sårbarhetens allvarlighetsgrad och beaktar flera faktorer, inklusive hur mycket arbete som krävs för att utnyttja en sårbarhet och den potentiella effekten om sårbarheten utnyttjas. Dell sammanfattar den beräknade effekten av en sårbarhet med hjälp av en numerisk poäng, en vektorsträng och en kvalitativ representation av allvarlighetsgraden (dvs. antingen kritisk, hög, medelhög eller låg) enligt skalan nedan:
Allvarlighetsgrad | Poäng enligt CVSS v3.1 |
Kritisk | 9,0–10 |
Hög | 7,0–8,9 |
Medel | 4,0–6,9 |
Låg | 0,1–3,9 |
Observera att det inte är ovanligt att Dells bedömning av en sårbarhet, CVSS-poäng och/eller vektorsträng kan skilja sig från dem som tillhandahålls av andra källor. Vid avvikelser använder Dell informationen i Dells säkerhetsrekommendationer som officiell informationskälla.
Dell publicerar säkerhetsrekommendationer, meddelanden och informationsartiklar för att informera kunder om sårbarheter som påverkar våra produkter.
Säkerhetsrekommendationer innehåller vägledning eller anvisningar om hur kunder kan skydda sig, minska och/eller åtgärda sårbarheter när Dell har analyserat och identifierat lösningar.
Säkerhetsrekommendationer är avsedda att ge tillräckligt med information för att det ska gå att bedöma konsekvenserna av sårbarheter och åtgärda potentiellt berörda produkter. Fullständig information kan dock begränsas för att minska risken för att aktörer som avser att orsaka skada kan utnyttja informationen mot våra kunder.
Dells säkerhetsrekommendationer omfattar vanligtvis följande information där det är tillämpligt:
Utifrån det enskilda fallet kan Dell publicera ett säkerhetsmeddelande för att bekräfta en allmänt känd sårbarhet och göra ett uttalande eller ge annan vägledning angående när (eller var) ytterligare information kommer att finnas tillgänglig.
Dell kan publicera säkerhetsrelaterade informativa artiklar för att tillhandahålla information om en rad olika säkerhetsrelaterade ämnen som:
Dells säkerhetsrekommendationer och säkerhetsmeddelanden finns tillgängliga på www.dell.com/support/security (på engelska). Informativa artiklar finns tillgängliga på den här länken när de autentiseras.
Om du identifierar en sårbarhet i en Dell-produkt bör du rapportera det till oss så fort som möjligt. Snabb identifiering och rapportering av sårbarheter är avgörande för att åtgärda potentiella risker för våra kunder. Säkerhetsforskare bör skicka in produktsårbarhetsrapporter via Dell Bugcrowd-webbplatsen (på engelska). Kunder och partner som använder företagsprodukter och kommersiella produkter bör rapportera säkerhetsproblem som upptäcks i Dell-produkter till sina respektive tekniska supportteam. Det tekniska supportteamet, lämpligt produktteam och Dell PSIRT kommer att arbeta tillsammans för att åtgärda det inrapporterade problemet och meddela kunderna om nästa steg.
Branschgrupper, leverantörer och andra användare som inte har tillgång till den tekniska supporten och/eller inte vill gå via felrapporteringsprogrammet kan skicka sårbarhetsrapporter direkt till Dells PSIRT via mejl. När du överför känslig information bör mejl och bilagor krypteras med PGP och en Dell PSIRT PGP-nyckel som kan laddas ner här. Dell tar emot och bekräftar din sårbarhetsrapport så snart som omständigheterna tillåter det.
I samtliga fall strävar Dell efter att bekräfta din sårbarhetsrapport inom tre (3) arbetsdagar efter mottagandet och tillhandahålla uppdateringar om åtgärder med en frekvens på trettio (30) kalenderdagar eller mindre.
När du rapporterar en potentiell sårbarhet ber vi att du inkluderar så mycket av nedanstående information som möjligt för att hjälpa oss att bättre förstå problemets karaktär och omfång:
Om en sårbarhet ger dig tillgång till konfidentiell eller icke-offentlig information (inklusive tredjepartsdata, personuppgifter eller information som markerats av Dell som internt bruk, begränsad eller mycket begränsad) bör du endast ta del av sådan information i minimal utsträckning för att rapportera sårbarheten till Dell. Förutom att skicka sådan information till Dell ska du inte lagra, överföra, använda, behålla, lämna ut eller kopiera den.
Du bör inte heller göra något som påverkar Dell-systemens integritet eller tillgänglighet utan uttryckligt tillstånd från ägaren. Gör endast det minsta som krävs för att få en konceptvalidering. Om du upplever försämrad prestanda under din forskning eller oavsiktligt orsakar en överträdelse eller ett avbrott (t.ex. åtkomst till kunddata eller tjänstekonfigurationer) ska du avbryta all användning av automatiserade verktyg och omedelbart rapportera incidenten. Om du vid något tillfälle är osäker på om din säkerhetsforskning är förenlig med denna policy ska du fråga secure@dell.com innan du går vidare.
Vänd dig till lämplig kontakt nedan för att rapportera andra typer av säkerhetsproblem till Dell:
Säkerhetsproblem | Kontaktinformation |
Vill du rapportera en sårbarhet eller ett säkerhetsproblem på Dell.com eller i andra onlinetjänster, webbprogram eller egendomar? | Skicka in en rapport via https://bugcrowd.com/dell-com (på engelska) med stegvisa instruktioner för att återskapa problemet. |
Misstänker du identitetsstöld eller har du råkat ut för en bedräglig transaktion som rör Dell Financial Services? | Se Dell Financial Services-säkerhet (på engelska). |
Vill du skicka in sekretessrelaterade begäranden eller frågor? | Se Dells sekretesspolicy (på engelska). |
Dell strävar efter att vara så transparenta som möjligt genom att tillhandahålla information om sårbarhetsåtgärder i vår säkerhetsrekommendation och tillhörande dokumentation, som kan inbegripa versionskommentarer, artiklar i kunskapsdatabasen och vanliga frågor och svar. Dell delar inte med sig av verifierade utnyttjanden eller konceptvalideringskoder för identifierade sårbarheter. I enlighet med branschpraxis delar Dell heller inte testresultat eller konceptvalideringskoder från interna säkerhetstester eller andra typer av konfidentiell information med externa enheter.
Dell-kunders rättigheter avseende garantier, support och underhåll – inklusive sårbarheter i Dell Software-produkter – styrs helt och hållet av tillämpligt avtal mellan Dell och den enskilda kunden. Yttrandena på den här webbsidan modifierar, utvidgar och ändrar inte på andra sätt kundernas rättigheter och skapar inga ytterligare garantier.
Alla aspekter av den här policyn för att åtgärda säkerhetsrisker kan komma att ändras utan föregående meddelande. Åtgärder garanteras inte för ett specifikt problem eller en specifik problemklass. Användning av informationen i det här dokumentet eller material som är länkat i det sker på egen risk.