Suntem pregătiți să lucrăm cu bună credință cu cercetători individuali, ICS-CERT, agenții de colectare a informațiilor de securitate, clienți și personal de teren care ar putea descoperi și transmite un raport de vulnerabilitate asupra produselor noastre. Vulnerabilitățile pot fi raportate pe pagina noastră de raportare a problemelor.
Eaton este de acord să nu acționeze în justiție împotriva persoanelor care:
Urmăm un proces de evaluare internă a riscurilor pentru a accepta și a recunoaște primirea informațiilor privind vulnerabilitatea, pentru a face o analiză preliminară și pentru a atribui o evaluare inițială vulnerabilității raportate. Pentru orice vulnerabilitate raportată extern în bibliotecile de software ale unor terțe părți, atribuim o evaluare a riscului folosind metoda de evaluare a vulnerabilității CVSS v3, așa cum se aplică pentru produsul afectat Eaton și contextul său de implementare. Orice vulnerabilitate al cărei scor general CVSS este de 7,0 sau mai mult sau este considerată un risc de securitate ridicat de către CCoE va fi abordată pe o bază prioritară.
Vulnerabilitățile descoperite pe produsele acceptate în prezent sunt remediate de Eaton. Echipa CCoE colaborează cu echipa de produse pentru a remedia vulnerabilitatea în funcție de prioritatea atribuită. Un calendar aproximativ pentru a remedia problema este estimat și comunicat reporterilor de vulnerabilitate (de exemplu, cercetători individuali, ICS-CERT sau alte agenții). Echipa CCoE în această fază acționează ca un singur punct de contact pentru entitățile externe și colaborează cu echipele interne pentru a determina stabilitatea și testarea vulnerabilității. În acest timp, comunicațiile pot fi menținute împreună cu partea care face raportarea, în timp ce noi lucrăm pentru rezolvarea problemei.
Eaton lansează remedierea/remedierile de vulnerabilitate prin canalul de distribuție standard al produselor afectate. Informațiile tehnice detaliate privind remedierile sunt publicate ca consultanță pentru securitatea produselor Eaton.
Eaton preferă să se colaboreze cu cercetătorii de vulnerabilitate pentru a efectua o dezvăluire coordonată și se așteaptă ca cercetătorii de vulnerabilități să se abțină de la a dezvălui publicului detaliile de vulnerabilitate înainte de expirarea unui interval de timp convenit de comun acord.
Descărcarea publică a informațiilor referitoare la vulnerabilitățile de securitate se află pe pagina noastră de notificări a Securității Cibernetice. Această pagină este depozitul central al consultanței Eaton privind securitatea produselor referitoare la toate produsele electrice Eaton. Clienții sunt încurajați să monitorizeze acest portal pentru cele mai recente recomandări de securitate.
Intenționăm să emitem avize de securitate pentru vulnerabilități validate atunci când a fost identificată o soluție sau o rezolvare practica. Pot exista cazuri când se emite un aviz consultativ în absența unei soluții. Deoarece fiecare vulnerabilitate de securitate este diferită, putem lua măsuri alternative în legătură cu emiterea de recomandări de securitate.
Eaton nu garantează că vor fi emise recomandări de securitate pentru toate problemele de securitate pe care clienții le pot considera semnificative sau că vor fi emise recomandări pe orice orar specific.
Eaton menține o Sala a Recunoașterii pentru a recunoaște în mod corespunzător contribuțiile cercetătorilor din domeniul securității care raportează vulnerabilitățile privind securitatea informatică a produselor în respectarea acestei politici.
Trimitere e-mail
