Estamos preparados para trabalhar de boa-fé com pesquisadores autônomos, ICS-CERT, agências de coleta de inteligência de segurança, clientes e equipes de campo que talvez descubram e enviem um relatório de vulnerabilidades sobre nossos produtos. As vulnerabilidades podem ser relatadas na nossa página “Report an Issue” (Reportar um problema).
A Eaton aceita não entrar com ação judicial contra indivíduos que:
Seguimos um processo interno de avaliação de riscos para aceitar e confirmar o recebimento de informações de vulnerabilidades, para fazer uma análise preliminar e atribuir uma classificação inicial à vulnerabilidade relatada. No caso de vulnerabilidades relatadas externamente em bibliotecas de software de terceiros, nós atribuímos uma classificação de risco usando o método de pontuação de vulnerabilidade CVSS v3 de acordo com o produto afetado da Eaton e seu contexto de implementação. Qualquer vulnerabilidade cuja pontuação geral do CVSS for 7.0 e superior ou for considerada um risco de segurança Grave pelo CCoE será priorizada no atendimento.
As vulnerabilidades descobertas em produtos com suporte corrente serão remediadas pela Eaton. A equipe do CCoE trabalha com a equipe de produtos para remediar a vulnerabilidade conforme a prioridade atribuída. Estima-se um cronograma aproximado para corrigir o problema, que é comunicado aos autores dos relatórios de vulnerabilidades (ou seja, pesquisadores autônomos, ICS-CERT ou outras agências). A equipe do CCoE durante esta fase age como um único ponto de contato para entidades externas e envolve equipes internas para corrigir e testar as vulnerabilidades. Podemos manter contato com o autor do relatório enquanto trabalhamos para resolver o problema.
A Eaton lança remediações/correções de vulnerabilidades pelo canal de distribuição padrão dos produtos afetados. As informações técnicas detalhadas relacionadas às correções são liberadas como um assessor de segurança do produto da Eaton.
A Eaton prefere se envolver com os pesquisadores autônomos para realizar uma divulgação coordenada e espera que os pesquisadores de vulnerabilidades evitem divulgar detalhes da vulnerabilidade ao público antes que um período mutuamente acordado expire.
A divulgação pública das informações relacionadas às vulnerabilidades de segurança é realizada na nossa página de Notificações de cibersegurança. Essa página é um repositório central para assessores de segurança de produtos da Eaton relacionados a todos os produtos elétricos da Eaton. Encorajamos clientes a monitorar esse portal para ver os últimos assessores de segurança.
Pretendemos emitir assessores de segurança para vulnerabilidades confirmadas quando uma alternativa ou solução prática tiver sido identificada. Pode haver instâncias nas quais um assessor é emitido na ausência de uma alternativa. Como cada vulnerabilidade de segurança é diferente, podemos tomar medidas alternativas em relação à emissão de assessores de segurança.
A Eaton não garante que os assessores de segurança sejam emitidos para todos os problemas de segurança que os clientes possam considerar significativos ou que os assessores sejam emitidos em um cronograma específico.
A Eaton mantém um Hall de Reconhecimento para devidamente reconhecer as contribuições de pesquisadores de segurança que relataram vulnerabilidades de cibersegurança de produtos de acordo com essa política.
Enviar e-mail
