Tietoa Sungrow PSIRT:sta
Sungrowin Tuoteturvallisuusreaktioryhmä (PSIRT) on erikoistunut tiimi, joka vastaanottaa, tutkii ja julkaisee tietoturva-aukkotai Sungrowin tuotteissa. Sungrow määrittelee aukot hyödynnettäviksi tietoturvaongelmiksi, jotka hyökkääjien hyödynnettäessä voivat vaarantaa tuotteiden eheyden, käytettävyyden tai luottamuksellisuuden. Aukko ei ole sama kuin laaduvika. Laaduvika laukeaa tietyissä olosuhteissa ilman hyökkääjän hyödyntämistä, kun taas aukko vaatii hyökkääjän hyödyntämisen ennen laukeamista.Sungrow PSIRT tekee seuraavat sitoumukset:
Käytämme IEC 62443-4-1:ää hallitsemaan sen tietoturvajohtamista ja kehitysprosesseja.
Ryhdymme toimiin vähentääksemme haavoittuvuuksia tuotteissamme ja palveluissamme vähentääksemme tai poistaaksemme asiakkaille/käyttäjille aiheutuvia haittoja ja tietoturvariskejä Sungrow-tuote/palveluhaavoittuvuuksien vuoksi.
Tarjoamme nopeasti riskien lievityskeinoja asiakkaille/käyttäjille, kun haavoittuvuuksia löydetään tuotteistamme ja palveluistamme.
Tunnistamme aktiivisesti haavoittuvuuksien hallinnan vastuut ja vaatimukset (mukaan lukien sovellettavat lait/säännöt liiketoiminnassa, sopimusvaatimukset ja sovellettavat julkiset standardit) ja rakennamme järjestelmän proaktiiviseen haavoittuvuuksien hallintaan.
Jatkamme haavoittuvuuksien hallintaprosessien ja -standardien optimointia, opimme alan standardeista ja parhaista käytännöistä ja parannamme haavoittuvuuksien hallinnan kypsyystasoa.
Epäiltyjen haavoittuvuuksien raportointi
Sungrow tukee vastuullista haavoittuvuuspaljastus- ja käsittelyprosessia, ja kannustaa tietoturvatutkijoita, toimialajärjestöjä, asiakkaita ja toimittajia raportoimaan epäillyt Sungrow-tuotehaavoittuvuudet Sungrow PSIRT:lle. Jos olet löytänyt haavoittuvuudet, voit lähettää sähköpostilla haavoittuvuuden kuvauksen (mukaan lukien tietyn tuotemallin, ohjelmistoversion jne.) osoitteeseen psirt@sungrowpower.com ja jätä yhteystietosi. Yleensä saat vahvistussähköpostin 1 työpäivän kuluessa lähetyksestä; varmistussähköpostin 7 työpäivän kuluessa. Sen jälkeen pidämme sinut ajan tasalla viimeisimmästä edistymisestä haavoittuvuuden käsittelyprosessin aikana.
Koko haavoittuvuuden käsittelyprosessin ajan PSIRT:imme varmistaa tiukasti, että haavoittuvuustietoja siirretään vain relevanttien käsittelijöiden välillä. Pyydämme sinua vilpittömästi pitämään tiedot luottamuksellisina, kunnes täydellinen ratkaisu on saatavilla asiakkaillemme. Otamme tarpeelliset ja kohtuulliset toimenpiteet saadun datan suojaamiseksi lakisääteisten vaatimusten perusteella. Emme aktiivisesti jaa tai paljasta dataa muille, ellei laki tai asianomainen asiakas sitä muuten vaadi.
Haavoittuvuusvasteprosessi:
Kun vastaanotetaan mikä tahansa epäilty haavoittuvuus, PSIRT-ryhmämme työskentelee asianomaisen tuotetiimin kanssa analysoidakseen/vahvistaakseen haavoittuvuuden, arvioidakseen sen vakavuuden tuotteisiin kohdistuvan todellisen vaikutuksen perusteella, määrittääkseen sen korjausprioriteetin ja kehittääkseen korjauksia (mukaan lukien lieventävät toimenpiteet, korjaukset/versiot ja muut riskien lieventämiseen liittyvät toimenpiteet, jotka asiakkaat voivat toteuttaa). Kun havaitsemme haavoittuvuuksia toimittajan tarjoamissa tuotteissa tai palveluissa tuotekehityksen, toimituksen ja käyttöönoton aikana, otamme aktiivisesti yhteyttä toimittajaan haavoittuvuuksien korjaamiseksi.