Over Sungrow PSIRT

Sungrow Product Security Incident Response Team (PSIRT) is een toegewijd team dat beveiligingslekken in Sungrow-producten ontvangt, onderzoekt en bekendmaakt. Sungrow definieert lekken als uitbuitbare beveiligingsproblemen die, eenmaal uitgebuit door aanvallers, de integriteit, beschikbaarheid of vertrouwelijkheid van producten kunnen compromitteren. Een lek is niet equivalent aan een kwaliteitsdefect. Een kwaliteitsdefect wordt onder bepaalde omstandigheden geactiveerd, zonder uitbuiting door een aanvaller, terwijl een lek moet worden uitgebuit door een aanvaller voordat het wordt geactiveerd.Sungrow PSIRT maakt de volgende toezeggingen:

Wij gebruiken IEC 62443-4-1 om het beveiligingsbeheer en ontwikkelingsprocessen te beheren.

Wij ondernemen acties om kwetsbaarheden in onze producten en diensten te verminderen om de schade en beveiligingsrisico's veroorzaakt aan klanten/gebruikers door Sungrow product-/dienstkwetsbaarheden te verminderen of te elimineren.

Wij verstrekken tijdig risicoverminderingen aan klanten/gebruikers nadat kwetsbaarheden in onze producten en diensten zijn gevonden.

Wij identificeren actief onze verantwoordelijkheden en vereisten voor kwetsbaarheidsbeheer (inclusief toepasselijke wetten/regelgeving voor bedrijfsvoering, contractvereisten en toepasselijke publieke normen) en bouwen een systeem om proactief kwetsbaarheden te beheren.
Wij zullen ons kwetsbaarheidsbeheerprocessen en -normen blijven optimaliseren, leren van industriestandaarden en best practices, en onze kwetsbaarheidsbeheermaturiteit verbeteren.

Meld Vermoedelijke Kwetsbaarheden

Sungrow ondersteunt het verantwoordelijke kwetsbaarheidsopenbaarmakings- en afhandelingsproces en moedigt beveiligingsonderzoekers, brancheorganisaties, klanten en leveranciers aan om vermeende Sungrow-productkwetsbaarheden te melden aan Sungrow PSIRT. Als u de kwetsbaarheden heeft gevonden, kunt u de beschrijving van de kwetsbaarheid (inclusief het specifieke productmodel, softwareversie, etc.) per e-mail naar psirt@sungrowpower.com en laat uw contactgegevens achter. Over het algemeen ontvangt u een bevestigingsmail binnen 1 werkdag na indiening; een verificatiemail binnen 7 werkdagen. Vervolgens houden wij u op de hoogte van de nieuwste ontwikkelingen tijdens het kwetsbaarheidsafhandelingsproces.

Gedurende het kwetsbaarheidsafhandelingsproces zorgt onze PSIRT er strikt voor dat kwetsbaarheidsinformatie alleen tussen relevante afhandelaars wordt overgedragen. Wij verzoeken u oprecht om de informatie vertrouwelijk te houden totdat een volledige oplossing beschikbaar is voor onze klanten. Wij nemen noodzakelijke en redelijke maatregelen om de verkregen gegevens te beschermen op basis van wettelijke compliance-eisen. Wij delen of openbaren de gegevens niet actief aan anderen, tenzij dit wettelijk vereist is of door de getroffen klant.

Kwetsbaarheid Reactieproces:

Na ontvangst van een vermoedelijke kwetsbaarheid zal onze PSIRT samenwerken met het relevante productteam om de kwetsbaarheid te analyseren/valideren, de ernst ervan te beoordelen op basis van de daadwerkelijke impact op producten, de prioriteit voor herstel te bepalen en herstelmaatregelen te ontwikkelen (inclusief mitigaties, patches/versies en andere risicomitigaties die door klanten kunnen worden geïmplementeerd).

Bij het ontdekken van kwetsbaarheden in de producten of diensten die door een leverancier worden geleverd tijdens productontwikkeling, levering en implementatie, zullen we proactief contact opnemen met de leverancier voor herstel van de kwetsbaarheid.