Divulgazione della vulnerabilità della sicurezza
Politica
1. Centro di risposta alle vulnerabilità della sicurezza (S-CERT)
Il dipartimento S-CERT*1 di Hanwha Techwin è un team dedicato ad affrontare le vulnerabilità di sicurezza dei prodotti Wisenet di Hanwha Techwin e a rispondere prontamente (analisi e preparazione di contromisure) in caso di vulnerabilità di sicurezza. Contatta il team S-CERT all'indirizzo secure.cctv@hanwha.com con informazioni dettagliate sul prodotto e istruzioni su come riprodurre i sintomi della vulnerabilità quando trovi una vulnerabilità di sicurezza correlata al prodotto.※ S-CERT non risponde alle richieste relative al supporto e alle funzionalità del prodotto. Si prega di contattare il proprio rappresentante di vendita Hanwha per richieste generiche sui prodotti.
2. Processo di risposta alle vulnerabilità di sicurezza
Al ricevimento di un rapporto sulla vulnerabilità della sicurezza, viene immediatamente convocato un Consiglio per le contromisure in caso di violazione della sicurezza. L'obiettivo del Consiglio è analizzare il contenuto e l'impatto della vulnerabilità, preparare la risoluzione del problema e pubblicare il firmware con patch sul sito Web il prima possibile.
3. Politica di avviso di vulnerabilità della sicurezza
Il firmware con patch di vulnerabilità viene caricato sul sito Web*2 insieme al rapporto sulle vulnerabilità. I dettagli della vulnerabilità (contenuto della vulnerabilità, informazioni sul prodotto interessato/versione del firmware, rischio, contromisure, ecc.) non vengono divulgati finché il firmware con patch non viene rilasciato sul sito Web per la prevenzione degli attacchi zero-day. Dettagli come gli scenari di attacco per le vulnerabilità non vengono divulgati per evitare attacchi imitativi. Se più prodotti sono interessati dalla vulnerabilità, le patch del firmware corrispondenti verranno rilasciate contemporaneamente.
Il firmware con patch di vulnerabilità viene caricato sul sito Web*2 insieme al rapporto sulle vulnerabilità. I dettagli della vulnerabilità (contenuto della vulnerabilità, informazioni sul prodotto interessato/versione del firmware, rischio, contromisure, ecc.) non vengono divulgati finché il firmware con patch non viene rilasciato sul sito Web per la prevenzione degli attacchi zero-day. Dettagli come gli scenari di attacco per le vulnerabilità non vengono divulgati per evitare attacchi imitativi. Se più prodotti sono interessati dalla vulnerabilità, le patch del firmware corrispondenti verranno rilasciate contemporaneamente.
* 1. S-CERT: Security-Computer Emergency Response Team
*2. Pagina Cyber Security del sito web (Supporto > Sicurezza informatica)