Pilz Product Security Incident Response Team (PSIRT)

Pilz PSIRT:n turvallisuusasiantuntijat analysoivat, arvioivat ja käsittelevät potentiaalisia turvallisuushaavoittuvuuksia sekä Pilz-tuotteisiin ja ratkaisuihin liittyviä turvallisuustapahtumia. Kun haavoittuvuus todetaan, Pilz PSIRT julkaisee Security Advisoryn, jossa on korjausohjeet.

Kannustamme turvallisuusasiantuntijoita, riippumattomia tutkijoita, asiakkaita ja muita toimijoita ilmoittamaan meille tuoteisiimme ja palveluihimme liittyvät turvallisuusongelmat. Vain silloin voimme sopia yhteisistä jatkotoimenpiteistä ja parantaa tuotteidemme ja ratkaisujemme turvallisuutta. Asiakkaittemme ja ulkopuolisten turvallisuuden takaamiseksi pyydämme, että haavoittuvuudet julkaistaan koordinoidusti PSIRTin johdolla.

Pilz PSIRT-tiimin Security-asiantuntijat käsittelevät ja analysoivat kaikki Pilz-tuotteiden mahdollisia haavoittuvuuksia koskevat ilmoitukset. Jos sinulla on kysyttävää Securitystä, jotka koskevat Pilzin tuotteita tai infrastruktuuria tai haluat ilmoittaa turvallisuushaavoittuvuuden, käänny PSIRT-tiimin Security-asiantuntijoiden puoleen. Kirjoita PSIRT-tiimille saksaksi tai englanniksi. Vastaanottovahvistus lähetetään yleensä neljän työpäivän kuluessa (CET).

Ilmoita tuotteisiimme, ratkaisuihimme ja verkkopalveluihimme liittyvistä Security-ongelmista:

PSIRT-yhteystiedot

PGP-Public-Key

Liitä seuraavat tiedot ilmoitukseesi:

1. Ilmoittajan nimi
2. Yhteystiedot (sähköposti, puhelin)
3. Yritys
4. Kyseisen tuotteen kuvaus ja osanumero
5. Laiteohjelmisto- ja ohjelmistoversio
6. Haavoittuvuuden kuvaus
7. Kuvaus siitä, miten haavoittuvuutta voidaan hyödyntää (älä lähetä meille pyytämättä exploit-koodia)
8. Tieto siitä, onko haavoittuvuus jo julkaistu (sinun tai jonkin muun organisaation toimesta)

Julkaisemme tietoturvailmoitukset CSAF (Common Security Advisory Framework) -standardin mukaisessa muodossa. Tämän koneellisesti luettavan muodon avulla yritykset voivat käsitellä turvallisuustietoja automaattisesti ja reagoida nopeammin mahdollisiin haavoittuvuuksiin.

Common Security Advisory Framework (CSAF)

Yhteistyössä kumppaneiden kanssa julkeisemme Security tietoturvatiedotteemme myös VDE CERT -alustan kautta. Näin varmistamme mahdollisimman suuren avoimuuden ja viestinnän turvallisuuden ja standardoinnin.                                                                                                                                                                             

CERT@VDE

1. Analysointi:

PSIRT-tiimimme tutkii ilmoitetun haavoittuvuuden ja pyytää tarvittaessa lisätietoja ilmoittajilta. Huomaa, että tutkimus voi kestää päivistä viikkoihin haavoittuvuuden ja tuotteen monimutkaisuudesta riippuen. Tästä riippumatta annamme ilmoittajalle raportin viimeistään 15 arkipäivän kuluttua ilmoituksesta.

2. Toimenpiteiden määrittely:

Haavoittuvuuden vakavuudesta ja muista tekijöistä riippuen luodaan päivityksiä. Vakavan haavoittuvuuden yhteydessä Pilz laatii Security Advisoryn. Prosessin aikana tiedotamme jatkuvasti ilmoittajaa sen tilasta.

3. Julkaisu:

Valmiit Security Advisory -turvallisuusilmoitukset ja tarvittaessa niihin liittyvät laiteohjelmiston tai ohjelmiston tietoturvapäivitykset julkaistaan täällä, ja ne ovat kaikkien asiakkaiden ladattavissa. Latausta varten sinun on kirjauduttava sisään käyttäjätunnuksellasi. Jos sinulla ei vielä ole profiilia, voit rekisteröityä ilmaiseksi täällä. Huomaa, että haavoittuvuuden vakavuudesta riippuen päivitykset saatetaan julkaista tuotekohtaisen julkaisuaikataulun mukaan.

Security Advisory -turvallisuusilmoitus on ilmoitus tunnistetusta tietoturva-aukosta jossakin tuotteessamme. Se sisältää yleensä:

• haavoittuvuuden yksityiskohtainen kuvaus,
• sen kriittisyyden arviointi CVSS-pistemäärän perusteella,
• luettelo kyseeseen tulevista tuotteista ja niiden versionumerot,
• suositellut toimenpiteet haavoittuvuuden korjaamiseksi,
• ja tarvittaessa kiitos niille henkilöille tai organisaatioille, jotka ovat ilmoittaneet ongelmasta meille.