การเปิดเผยช่องโหว่ของผลิตภัณฑ์และนโยบาย

เราเตรียมพร้อมที่จะทำงานด้วยความสุจริตใจกับนักวิจัย, ICS-CERT, หน่วยงานรวบรวมข่าวกรองด้านการรักษาความปลอดภัย ลูกค้า และบุคลากรภาคสนามที่อาจค้นพบและส่งรายงานช่องโหว่เกี่ยวกับผลิตภัณฑ์ของเรา การรายงานช่องโหว่สามารถทำได้ในหน้ารายงานปัญหาของเรา

Eaton ตกลงที่จะไม่ดำเนินการทางกฎหมายกับบุคคลที่:

• มีส่วนร่วมในการทดสอบ/วิจัยผลิตภัณฑ์อัจฉริยะของ Eaton โดยไม่ทำอันตรายต่อ Eaton หรือลูกค้าของบริษัท
• เข้าร่วมในการทดสอบช่องโหว่ภายในขอบเขตของนโยบายการเปิดเผยช่องโหว่ของเรา หรือได้รับการอนุญาต/ความยินยอมล่วงหน้าจาก Eaton
• ทดสอบผลิตภัณฑ์โดยไม่ส่งผลกระทบต่อลูกค้า หรือได้รับการอนุญาต/ความยินยอมจากลูกค้าก่อนที่จะทำการทดสอบช่องโหว่กับอุปกรณ์/ซอฟต์แวร์ ฯลฯ
• ปฏิบัติตามกฎหมายของพื้นที่ของตนและพื้นที่ของ Eaton
• ส่งรายงานช่องโหว่ผ่านกระบวนการรายงานปัญหาของเรา
• งดเว้นการเปิดเผยรายละเอียดช่องโหว่ต่อสาธารณะก่อนสิ้นสุดกรอบเวลาที่ตกลงร่วมกันไว้

การรับทราบและการวิเคราะห์เบื้องต้น

เราปฏิบัติตามกระบวนการประเมินความเสี่ยงภายในเพื่อรับทราบข้อมูลที่ได้รับมาเกี่ยวกับช่องโหว่ ทำการวิเคราะห์เบื้องต้น และกำหนดระดับเริ่มต้นให้กับช่องโหว่ที่ได้รับรายงานมา สำหรับช่องโหว่ที่ได้รับรายงานจากภายนอกในไลบรารีซอฟต์แวร์ของบริษัทอื่น เราจะกำหนดระดับความเสี่ยงโดยใช้วิธีการให้คะแนนช่องโหว่ CVSS v3 ตามที่ใช้กับผลิตภัณฑ์ Eaton ที่ได้รับผลกระทบและบริบทในการใช้งาน ช่องโหว่ใดก็ตามที่มีคะแนน CVSS โดยรวมตั้งแต่ 7.0 ขึ้นไปหรือถูกจัดให้อยู่ในความเสี่ยงด้านการรักษาความปลอดภัยสูงโดย CCoE จะได้รับการจัดการตามลำดับความสำคัญ

การแก้ไขหรือการบรรเทา

ช่องโหว่ที่ตรวจพบในผลิตภัณฑ์ที่สนับสนุนในปัจจุบันนั้นจะได้รับการแก้ไขโดย Eaton ทีม CCoE ทำงานร่วมกับทีมผลิตภัณฑ์เพื่อแก้ไขช่องโหว่ตามลำดับความสำคัญที่ได้รับมอบหมาย ไทม์ไลน์โดยประมาณในการแก้ไขปัญหาจะถูกประมาณการและสื่อสารกับผู้รายงานช่องโหว่ (เช่น ตัวนักวิจัย, ICS-CERT หรือหน่วยงานอื่นๆ เป็นต้น)  ในระหว่างนี้ทีม CCoE จะทำหน้าที่เป็นจุดติดต่อเพียงหนึ่งเดียวสำหรับหน่วยงานภายนอก และเข้าร่วมกับทีมภายในเพื่อแก้ไขและทดสอบช่องโหว่  ตลอดช่วงเวลานี้อาจมีการสื่อสารกับฝ่ายที่เป็นผู้รายงานในขณะที่เราดำเนินการแก้ไขปัญหา

การปล่อยการแก้ไข

Eaton จะปล่อยการแก้ไข/การบรรเทาช่องโหว่ผ่านช่องทางการจัดจำหน่ายมาตรฐานของผลิตภัณฑ์ที่ได้รับผลกระทบ ข้อมูลทางเทคนิคโดยละเอียดที่เกี่ยวข้องกับการแก้ไขจะได้รับการเผยแพร่ในรูปแบบคำแนะนำด้านการรักษาความปลอดภัยของผลิตภัณฑ์ Eaton

Eaton ปรารถนาที่จะเข้าร่วมกับนักวิจัยค้นหาช่องโหว่เพื่อดำเนินการเปิดเผยข้อมูลร่วมกัน และคาดหวังว่านักวิจัยผู้ค้นหาช่องโหว่จะงดเว้นการเปิดเผยรายละเอียดช่องโหว่ต่อสาธารณะก่อนสิ้นสุดกรอบเวลาที่ตกลงร่วมกัน

คำแนะนำด้านการรักษาความปลอดภัยของ Eaton

การเปิดเผยข้อมูลที่เกี่ยวข้องกับช่องโหว่ด้านการรักษาความปลอดภัยต่อสาธารณะอยู่ในหน้าการแจ้งเตือนด้านการรักษาความปลอดภัยทางไซเบอร์ของเรา หน้านี้เป็นที่เก็บข้อมูลส่วนกลางสำหรับคำแนะนำด้านการรักษาความปลอดภัยของผลิตภัณฑ์ Eaton ที่เกี่ยวข้องกับผลิตภัณฑ์ไฟฟ้าของ Eaton ทั้งหมด ลูกค้าควรตรวจสอบในส่วนนี้เพื่อรับคำแนะนำล่าสุดในด้านการรักษาความปลอดภัย

เราตั้งใจที่จะเผยแพร่คำแนะนำด้านการรักษาความปลอดภัยสำหรับช่องโหว่ที่ได้รับการตรวจสอบแล้วเมื่อพบวิธีแก้ไขปัญหาหรือการแก้ไขที่ใช้งานได้จริง อาจมีบางกรณีคำแนะนำอาจถูกเผยแพร่ได้โดยไม่มีวิธีแก้ไขปัญหา เนื่องจากช่องโหว่ด้านความปลอดภัยแต่ละจุดแตกต่างกัน เราจึงอาจมีการดำเนินการที่แตกต่างกันในการออกคำแนะนำด้านความปลอดภัย 

Eaton ไม่รับประกันว่าจะมีการเผยแพร่คำแนะนำด้านการรักษาความปลอดภัยสำหรับปัญหาด้านการรักษาความปลอดภัยใดก็ตามหรือทั้งหมดที่ลูกค้าอาจพิจารณาว่ามีนัยสำคัญ หรือจะมีการเผยแพร่คำแนะนำในไทม์ไลน์ที่กำหนดเฉพาะใดๆ

หมายเหตุ: Eaton ขอสงวนสิทธิ์ในการแก้ไขนโยบายนี้ได้ตลอดเวลาตามดุลยพินิจของ Eaton แต่เพียงผู้เดียว

รางวัลและการชมเชย

Eaton ได้จัดทำ Hall of Recognition เพื่อชมเชยการมีส่วนร่วมของนักวิจัยด้านการรักษาความปลอดภัยที่รายงานช่องโหว่ด้านความปลอดภัยทางไซเบอร์ของผลิตภัณฑ์ตามนโยบายนี้: