MM-571470_cybersecurity_2000x2000.jpg

PSIRT - Politica sulla divulgazione delle vulnerabilità

Questa Policy ha lo scopo di fornire ai ricercatori delle linee guida chiare per svolgere le attività di scoperta delle vulnerabilità e le nostre preferenze per segnalarci tali vulnerabilità.

Questa Policy descrive come può inviarci report di vulnerabilità e quanto tempo chiediamo ai ricercatori di attendere prima di rivelare le vulnerabilità. Raccomandiamo di contattarci per segnalare potenziali vulnerabilità nei nostri prodotti.

Per i report delle vulnerabilità del prodotto, inviaci una e-mail a psirt@wago.com. Le segnalazioni possono essere inviate in forma anonima.

Utilizza la nostra chiave pubblica PGP per la comunicazione riservata (vedere la sezione "Segnalazione di una vulnerabilità").

Autorizzazione

Se nella tua ricerca ti impegnerai a rispettare questa Politica al meglio delle tue conoscenze e convinzioni, considereremo la tua ricerca autorizzata. Lavoriamo con te per capire e risolvere il problema rapidamente.

Linee guida

"Ricerca" in conformità con questa Politica significa attività in cui l'utente:

  • Informa il prima possibile dopo aver scoperto un problema di sicurezza attuale o potenziale
  • Utilizza gli exploit solo nella misura necessaria per confermare l'esistenza di una vulnerabilità
  • Concede un ragionevole lasso di tempo per risolvere il problema prima di renderlo pubblico
  • Non invia un gran numero di report di scarsa qualità

Ambito

WAGO non limita l'ambito di applicazione per i prodotti offerti da WAGO, compresi hardware, software o componenti con elementi digitali. In caso di vulnerabilità di sicurezza all'interno della nostra infrastruttura digitale, come il sito Web WAGO o qualsiasi altro tipo di servizio utilizzato dall'azienda, si prega di contattare il nostro Cyber Defense Center al seguente indirizzo e-mail: cyberdefense@wago.com.

Segnalazione di una vulnerabilità

Le informazioni fornite in questa Policy sono utilizzate esclusivamente a scopi difensivi, vale a dire per ridurre o eliminare le vulnerabilità. Le segnalazioni possono essere inviate in forma anonima. Se fornisci le informazioni di contatto, confermeremo il ricevimento della tua segnalazione. Supportiamo la crittografia PGP per la corrispondenza e-mail. La chiave PGP è accessibile dal nostro file security.txt. Nota: le e-mail inviate senza crittografia PGP potrebbero essere ignorate.

Cosa ti chiediamo

Per aiutarci a classificare e assegnare la priorità alle potenziali vulnerabilità, includi i seguenti elementi nel tuo report, se possibile:

  • Versione prodotto o software interessato (codice articolo, versione firmware, ecc.)
  • Una descrizione di dove è stata scoperta la vulnerabilità e l'impatto potenziale dell'exploit
  • Una descrizione dettagliata dei passaggi richiesti per replicare la vulnerabilità (script di prova del concetto o screenshot sono utili)
  • Se disponibili: documenti correlati riguardanti la vulnerabilità (CVE, annunci, note di rilascio, ecc.)
  • Se possibile, scrivere in inglese

Cosa puoi aspettarti da noi

Se l'utente desidera condividere i dati di contatto con noi, promettiamo di coordinarci con l'utente il più apertamente e rapidamente possibile.

  • Confermeremo il ricevimento della tua segnalazione entro una settimana.
  • Il nostro team analizzerà il rapporto in collaborazione con il team di sviluppo o i partner responsabili.
  • Informeremo l'utente dell'esito della nostra indagine sulle sue scoperte al meglio delle nostre conoscenze e convinzioni e spiegheremo i passi che intraprendiamo nel processo di riparazione, compresi eventuali problemi o sfide che possono ritardare una soluzione, nel modo più trasparente possibile.
  • Lavoreremo con te per creare un ingresso CVE (fornito dal nostro partner di coordinamento CERT@VDE) e per garantire che tu riceva un riconoscimento adeguato per supportare la sicurezza dei nostri prodotti.
  • Quando confermeremo la vulnerabilità della sicurezza, informeremo il nostro partner di coordinamento cert@vde.
  • Divulgheremo pubblicamente i problemi segnalati dall'utente una volta che una soluzione è disponibile o pubblicata (a seconda di quale evento si verifica prima). La vulnerabilità sarà pubblicata sotto forma di consulenza di sicurezza secondo lo standard CSAF 2.0.
  • La vulnerabilità sarà pubblicata tramite il nostro partner di coordinamento cert@vde.
  • Intraprenderemo un dialogo aperto per affrontare qualsiasi domanda.

Domande

Le domande relative a questa Informativa possono essere inviate a psirt@wago.com. Invitiamo inoltre a contattarci per suggerimenti volti a migliorare questa Politica.