Divulgazione della vulnerabilità della sicurezza

Politica

1. Centro di risposta alle vulnerabilità della sicurezza (S-CERT)

Il dipartimento S-CERT*1 di Hanwha Vision è un team dedicato ad affrontare le vulnerabilità di sicurezza dei prodotti Wisenet di Hanwha Vision e a rispondere prontamente (analisi e preparazione di contromisure) in caso di vulnerabilità di sicurezza. Contatta il team S-CERT all'indirizzo secure.cctv@hanwha.com con informazioni dettagliate sul prodotto e istruzioni su come riprodurre i sintomi della vulnerabilità quando trovi una vulnerabilità di sicurezza correlata al prodotto.※ S-CERT non risponde alle richieste relative alla vulnerabilità dell’ home page (https://www.hanwhavision.com/), al supporto e alle funzionalità del prodotto. Si prega di contattare il proprio rappresentante di vendita Hanwha per richieste generiche sui prodotti.

2. Processo di risposta alle vulnerabilità di sicurezza

Al ricevimento di un rapporto sulla vulnerabilità della sicurezza, viene immediatamente convocato un Consiglio per le contromisure in caso di violazione della sicurezza. Coloro che segnalano vulnerabilità della sicurezza possono ricevere una risposta iniziale entro 2 giorni lavorativi e possono ricevere una risposta riguardante le azioni e pianificazioni del produttore sulla vulnerabilita’ entro 10 giorni lavorativi.

I firmware con vulnerabilità migliorate e i dettagli delle vulnerabilità non saranno divulgati fino a 90 giorni dal ricevimento o fino a una data concordata di comune accordo con l'informatore.

Per una gestione trasparente ed efficiente delle vulnerabilità della sicurezza, a partire da settembre 2023, Hanwha Vision partecipa al programma CVE come CNA in grado di registrare e gestire direttamente le vulnerabilità CVE e sta gestendo un programma di bug bounty per i clienti interni.

3. Politica di avviso di vulnerabilità della sicurezza

Il firmware con patch di vulnerabilità viene caricato sul sito Web*2 insieme al rapporto sulle vulnerabilità. I dettagli della vulnerabilità (contenuto della vulnerabilità, informazioni sul prodotto interessato/versione del firmware, rischio, contromisure, ecc.) non vengono divulgati finché il firmware con patch non viene rilasciato sul sito Web per la prevenzione degli attacchi zero-day. Dettagli come gli scenari di attacco per le vulnerabilità non vengono divulgati per evitare attacchi imitativi. Se più prodotti sono interessati dalla vulnerabilità, le patch del firmware corrispondenti verranno rilasciate contemporaneamente.

* 1.S-CERT: Security-Computer Emergency Response Team

*2. Pagina Cyber Security del sito web (Supporto > Sicurezza informatica)

 

Il nostro impegno per la sicurezza informatica

Hai trovato una vulnerabilità di sicurezza?