Sungrow Logo

Về Sungrow PSIRT


Đội Ứng Phó Sự Cố An ninh Sản phẩm Sungrow (PSIRT) là một đội chuyên trách nhận, điều tra và công bố các lỗ hổng bảo mật trong sản phẩm Sungrow. Sungrow định nghĩa lỗ hổng là các vấn đề bảo mật có thể bị khai thác, khi bị kẻ tấn công lợi dụng, có thể ảnh hưởng đến tính toàn vẹn, tính sẵn sàng hoặc tính bảo mật của sản phẩm. Một lỗ hổng không đồng nghĩa với một lỗi chất lượng. Lỗi chất lượng được kích hoạt dưới những điều kiện nhất định, mà không cần bị kẻ tấn công khai thác, trong khi một lỗ hổng phải bị kẻ tấn công khai thác trước khi bị kích hoạt.

Sungrow PSIRT đưa ra các cam kết sau:


Chúng tôi sử dụng IEC 62443-4-1 để quản lý quy trình quản lý an ninh và phát triển của mình.

Chúng tôi thực hiện các biện pháp để giảm các lỗ hổng trong sản phẩm và dịch vụ nhằm giảm hoặc loại bỏ tổn hại và rủi ro an ninh gây ra cho khách hàng/người dùng do các lỗ hổng trong sản phẩm/dịch vụ của Sungrow.

Chúng tôi nhanh chóng cung cấp các biện pháp giảm rủi ro cho khách hàng/người dùng sau khi phát hiện lỗ hổng trong sản phẩm và dịch vụ.

Chúng tôi chủ động xác định trách nhiệm và yêu cầu quản lý lỗ hổng (bao gồm các luật/quy định áp dụng đối với hoạt động kinh doanh, yêu cầu hợp đồng và các tiêu chuẩn công cộng áp dụng) và xây dựng hệ thống để quản lý lỗ hổng một cách chủ động.
Chúng tôi sẽ tiếp tục tối ưu hóa quy trình và tiêu chuẩn quản lý lỗ hổng, học hỏi từ các tiêu chuẩn ngành và thực hành tốt nhất, và nâng cao mức độ trưởng thành trong quản lý lỗ hổng.


Báo cáo các lỗ hổng nghi ngờ


Sungrow ủng hộ quy trình tiết lộ và xử lý lỗ hổng một cách có trách nhiệm, và khuyến khích các nhà nghiên cứu bảo mật, tổ chức ngành, khách hàng và nhà cung cấp báo cáo các lỗ hổng nghi ngờ liên quan đến sản phẩm Sungrow tới Sungrow PSIRT. Nếu bạn phát hiện lỗ hổng, bạn có thể gửi email mô tả lỗ hổng (bao gồm mẫu sản phẩm cụ thể, phiên bản phần mềm, v.v.) tới psirt@sungrowpower.comVui lòng để lại thông tin liên hệ của bạn. Thông thường, bạn sẽ nhận được email xác nhận trong vòng 1 ngày làm việc kể từ khi gửi; email xác minh trong vòng 7 ngày làm việc. Sau đó, chúng tôi sẽ cập nhật cho bạn tiến trình mới nhất trong suốt quá trình xử lý lỗ hổng.

Trong toàn bộ quá trình xử lý lỗ hổng, PSIRT của chúng tôi nghiêm ngặt đảm bảo rằng thông tin về lỗ hổng chỉ được chuyển giao giữa những người xử lý liên quan. Chúng tôi chân thành yêu cầu bạn giữ thông tin này ở trạng thái bảo mật cho đến khi có giải pháp hoàn chỉnh sẵn sàng cho khách hàng của chúng tôi. Chúng tôi sẽ thực hiện các biện pháp cần thiết và hợp lý để bảo vệ dữ liệu thu thập được dựa trên các yêu cầu tuân thủ pháp luật. Chúng tôi sẽ không chủ động chia sẻ hoặc tiết lộ dữ liệu cho bên thứ ba trừ khi được yêu cầu bởi pháp luật hoặc bởi chính khách hàng bị ảnh hưởng.


Quy trình phản ứng với lỗ hổng bảo mật:

Sau khi nhận được bất kỳ lỗ hổng nghi ngờ nào, PSIRT của chúng tôi sẽ làm việc với nhóm sản phẩm liên quan để phân tích/xác thực lỗ hổng, đánh giá mức độ nghiêm trọng dựa trên tác động thực tế đối với sản phẩm, xác định ưu tiên khắc phục và phát triển các biện pháp khắc phục (bao gồm các biện pháp giảm thiểu, bản vá/phiên bản và các biện pháp giảm rủi ro khác có thể được khách hàng triển khai).

Khi phát hiện lỗ hổng trong các sản phẩm hoặc dịch vụ do nhà cung cấp cung cấp trong quá trình phát triển, giao hàng và triển khai sản phẩm, chúng tôi sẽ chủ động liên hệ với nhà cung cấp để khắc phục lỗ hổng.