Divulgation des vulnérabilités de sécurité

Politique

1. Centre de réponse aux vulnérabilités de sécurité (S-CERT)

Le département S-CERT * 1 de Hanwha Vision est une équipe dédiée à la résolution des vulnérabilités de sécurité des produits Wisenet de Hanwha Vision et à la réponse rapide (analyse et préparation de contre-mesures) en cas de vulnérabilité de sécurité. Veuillez contacter l'équipe S-CERT à l'adresse secure.cctv@hanwha.com avec des informations détaillées sur le produit et des instructions sur la façon de reproduire les symptômes de la vulnérabilité lorsque vous trouvez une vulnérabilité de sécurité liée au produit. ※ S-CERT ne répond pas aux demandes liées à la vulnérabilité de la page d'accueil (https://www.hanwhavision.com/), au support produit et aux fonctionnalités. Veuillez contacter votre représentant commercial Hanwha pour toute question générale sur les produits.

2. Processus de réponse aux vulnérabilités de sécurité

Dès réception d'un rapport de vulnérabilité de sécurité, un Conseil de lutte contre les accidents en cas de violation de la sécurité est convoqué immédiatement. Les personnes signalant des vulnérabilités de sécurité peuvent recevoir une première réponse dans un délai de 2 jours ouvrables, et peuvent recevoir une réponse concernant les actions futures du fabricant et le plan de correction lié à la vulnérabilité dans un délai de 10 jours ouvrables.

Les micrologiciels présentant des vulnérabilités améliorées et des détails sur les vulnérabilités ne seront divulgués que 90 jours après leur réception ou à une date mutuellement convenue avec l'informateur. Pour une gestion transparente et efficace des vulnérabilités de sécurité, à partir de septembre 2023, Hanwha Vision participe au programme CVE en tant que CNA capable d'enregistrer et de gérer directement les vulnérabilités CVE, et gère un programme ayant un (dispositif innovant pour renforcer la sécurité des services numériques pour les clients internes.

3. Politique d'avis de vulnérabilité de sécurité

Le micrologiciel corrigé de la vulnérabilité est téléchargé sur le site Web * 2 avec le rapport de vulnérabilité. Les détails de la vulnérabilité (contenu de la vulnérabilité, informations sur le produit/version du micrologiciel concernés, risque, contre-mesures, etc.) ne sont pas divulgués tant que le micrologiciel corrigé n'est pas publié sur le site Web pour la prévention des attaques zero-day. Les détails tels que les scénarios d'attaque pour les vulnérabilités ne sont pas divulgués pour empêcher l'imitation des attaques. Si plusieurs produits sont affectés par la vulnérabilité, les correctifs de micrologiciel correspondants seront publiés simultanément.

*1. S-CERT : Équipe d'intervention d'urgence en sécurité informatique

*2. Page de cybersécurité du site Web (Support > La cyber-sécurité)

 

Notre engagement envers la cybersécurité

Vous avez trouvé une vulnérabilité de sécurité ?