Stáhnout dokument () z 20
Věci, na kterých záleží, díky nám fungují.

Zásady informování o chybách produktů

Cybersecurity Center of Excellence společnosti Eaton

Zavazujeme se zajistit bezpečnost našich produktů pro zákazníky. S ohledem na význam kybernetického zabezpečení v produktech a řešeních Eaton jsme zřídili centrum Product Cybersecurity Center of Excellence odpovídající za řízení iniciativy zabezpečení produktů. 

Přehled reakcí na bezpečnostní incidenty

CCoE nese odpovědnost za reagování na incidenty související s bezpečností produktů a chyby ovlivňující inteligentní produkty Eaton. Vyhrazený globální tým řídí přijetí, vyšetřování, nápravu chyby a zveřejnění informací o chybách zabezpečení souvisejících s produkty Eaton. 

Příjem informací o chybě

Jsme připraveni v dobré víře spolupracovat s individuálními průzkumníky, centrem ICS-CERT, agenturami, které shromažďují informace o sledování bezpečnosti, zákazníky a pracovníky v terénu, kteří mohou zjistit a odesílat zprávy o chybách našich produktů. Chyby lze oznamovat prostřednictvím stránky pro oznamování problémů.

Společnost Eaton se zavazuje nepodnikat žádná legislativní opatření proti osobám, které:

  • jsou zapojeny do testování/průzkumu chytrých výrobků Eaton bez poškození společnosti Eaton nebo jejích  zákazníků.
  • Jsou zapojeny do testování chyb v rozsahu našich zásad informování o chybách nebo obdrží předchozí oprávnění/souhlas od společnosti Eaton.
  • Testují produkty, aniž by to ovlivnilo zákazníky nebo obdrží oprávnění/souhlas od zákazníků předtím, než se zapojí do testování chyb na základě jejich zařízení/softwaru atd.
  • Dodržují zákony svého pracoviště a pracoviště společnosti Eaton.
  • Zasílají zprávy o chybách prostřednictvím procesu oznámení problému.
  • Nezpřístupňují podrobnosti o chybách veřejnosti před vypršením vzájemně odsouhlaseného časového rámce.

Potvrzení a předběžná analýza

Dodržujeme proces interního hodnocení rizik k přijetí a potvrzení přijetí informací o chybách, podnikáme předběžnou analýzu a přiřazujeme počáteční hodnocení nahlášené chyby. V případě externě oznámené chyby zabezpečení v knihovnách softwaru třetí strany přiřazujeme hodnocení rizik pomocí metody stanovení skóre chyby CVSS v3 tak, jak se vztahuje k ovlivněnému produktu Eaton a jeho kontextu nasazení. Jakékoli chyby zabezpečení, jejichž celkové skóre CVSS je 7,0 a vyšší, které jsou CCoE považovány za vysoké bezpečnostní riziko, budou řešeny podle priority.

Oprava nebo zmírnění

Společnost Eaton napraví chyby zabezpečení získané v aktuálně podporovaných produktech. Tým CCoE ve spolupráci s produktovým týmem zajistí nápravu chyby podle přidělené priority. Osobám vykazujícím chybu (například jednotliví výzkumníci, ICS-CERT nebo jiné agentury) je sdělen odhadnutý čas opravy problému.  Během této fáze tým CCoE působí jako jeden kontaktní bod pro externí entity a spojí se s interními týmy pro zajištění opravy a testování chyby.  Během této doby může být udržována komunikace s ohlašující stranou při řešení problému.

Vydání opravy

Společnost Eaton vydává nápravy/opravy chyb prostřednictvím standardního distribučního kanálu ovlivněných produktů. Podrobné technické informace související s opravami jsou vydány jako bezpečnostní poradenství pro produkty Eaton.

Společnost Eaton dává přednost spojení se s osobami oznamujícími chybu, aby mohla provést koordinované zpřístupnění, a očekává, že se osoby zkoumající chyby zabezpečení zdrží vyzrazení podrobností o chybě veřejnosti před uplynutím vzájemně odsouhlaseného časového rámce.

Poradenství společnosti Eaton v oblasti bezpečnosti

Veřejné vydání informací souvisejících s chybami zabezpečení je na naší stránce pro oznámení kybernetického zabezpečení. Tato stránka je centrálním úložištěm pro poradenství v oblasti bezpečnosti produktů Eaton související se všemi elektrickými produkty. Doporučujeme zákazníkům, aby se na tento portál vraceli, pokud chtějí mít přehled o nejnovějším poradenství.

Naším záměrem je vydávat bezpečnostní poradenství pro ověřené chyby zabezpečení, když nalezneme praktické řešení nebo opravu. Mohou se objevit případy, kdy je vydáno poradenství, pokud chybí řešení. Vzhledem k tomu, že zjištěné chyby zabezpečení nejsou stejné, můžeme v souvislosti s vydáním bezpečnostního poradenství provést alternativní akce. 

Společnost Eaton nezaručuje, že bude bezpečnostní poradenství vydáváno pro všechny problémy zabezpečení, které mohou zákazníci považovat za významné nebo že bude poradenství vydáváno v konkrétním časovém úseku.

Odměna a ocenění

Společnost Eaton provozuje síň slávy pro řádné ocenění přispěvatelů z řad osob provádějících výzkum chyb, kteří nahlásí chyby kyberzabezpečení produktů v souladu s těmito zásadami.

 

Společnost Eaton si vyhrazuje právo tyto zásady na vlastní uvážení kdykoli změnit.