PTC Coordinated Vulnerability Disclosure Reporting (Version 1.0)

PTC schätzt Sicherheitsforschung

Sicherheit ist für PTC und die Ökosysteme, mit denen wir arbeiten, ungemein wichtig. Angesichts des zunehmenden Verschmelzens von realen und digitalen Systemen tragen wir gemeinsam die Verantwortung, sichere, verteidigungsfähige und robuste Systeme zu entwickeln und zu erhalten. PTC trägt mit umfangreichen Sicherheitsprogrammen und -initiativen seinen Teil dazu bei. Um unsere eigenen Bemühungen auszubauen, suchen wir Partner, die in gutem Glauben handeln. In diesem Sinne begrüßt PTC die unbezahlbaren Beiträge von Sicherheitsforschern. Um einen reibungslosen, optimierten Prozess sicherzustellen, stellen wir unser Coordinated Vulnerability Disclosure Program vor.

Umfang beim Programmstart

Dieses Pilotprojekt ist zunächst auf ThingWorx Produkte fokussiert, damit wir unsere volle Aufmerksamkeit Bereichen widmen, in denen Sicherheitslücken industrielle und sicherheitskritische Umgebungen betreffen könnten. Wir planen, das Programm im Laufe der Zeit auf weitere Produkte auszudehnen.

Rechtliche Haltung

PTC unternimmt keine rechtlichen Schritte gegen Personen, die in gutem Glauben und entsprechend den Koordinationsanweisungen und Vorgaben in diesen Richtlinien handeln. Hierzu gehört auch die Einhaltung aller einschlägigen Gesetze.

Kommunikation mit PTC

Um einen ordnungsgemäßen Informationsaustausch in beide Richtungen zu gewährleisten, beachten Sie bitte die folgenden Anweisungen:

  • Senden Sie Ihren Bericht in englischer Sprache an cvd@ptc.com
  • Verwenden Sie unseren öffentlichen PGP-Schlüssel, den Sie auf dieser Webseite finden, oder andere Verschlüsselungsmethoden, um Ihre Nachricht zu verschlüsseln.
  • Achten Sie darauf, dass Screenshots oder andere Dokumente oder Inhalte, die Sie uns zur Verfügung stellen, keine vertraulichen Informationen enthalten (lediglich Informationen, die sich auf die Sicherheitslücke beziehen).

Nach Eingang Ihrer Nachricht erhalten Sie von einem zuständigen PTC Mitarbeiter innerhalb von sieben (7) Kalendertagen eine Empfangsbestätigung.

Das erwarten wir von Ihnen

Wir sind bereit, mit Sicherheitsforschern zu arbeiten, die sich an folgende Richtlinien halten:

  • Vermeiden Sie Tests (Hacken) an aktiven Umgebungen. Verwenden Sie Test- oder Entwicklungsumgebungen für Tests auf Sicherheitslücken.
  • Halten Sie sich an alle geltenden Gesetze und Regelungen.
  • Greifen Sie nicht auf Daten in einem Konto oder System zu, über das Sie keine rechtliche Kontrolle haben, und nehmen Sie auch keine Änderungen an solchen Daten vor.
  • Ziehen Sie keinen Vorteil aus der Sicherheitslücke oder sonstigen Problemen, die Sie entdecken. Ergreifen Sie keine unverhältnismäßigen oder illegalen Maßnahmen.
  • Wir bitten Sie, die Veröffentlichung von Informationen zu erkannten Sicherheitslücken mit PTC abzustimmen, um Risiken für öffentliche Sicherheit, Datenschutz und Sicherheit zu minimieren.
    • Informieren Sie uns bitte vor einer eventuellen Veröffentlichung über Ihre Pläne.
    • Beziehen Sie DHS-ICS-CERT, CERT/CC, zuständige Regulierungsbehörden oder andere Behörden ein, wo sinnvoll.
    • Teilen Sie uns Einzelheiten bezüglich der Kommunikation über die Sicherheitslücke (und CVE) mit Sicherheitslückenkoordinatoren mit.
  • Bevorzugt: Gut formulierte Berichte in englischer Sprache können in der Regel schneller bearbeitet werden.
  • Bevorzugt: Berichte mit entsprechenden Belegen aus dem Code ermöglichen uns eine bessere Sichtung.

Das können Sie von PTC erwarten

Sobald ein Bericht eingeht, wird PTC:

  • Innerhalb von sieben (7) Kalendertagen den Empfang bestätigen.
  • Eine erste Beurteilung der potenziellen Erkenntnisse durchführen, um Genauigkeit, Eskalationsbedarf und zuständige Produktgruppe festzustellen. In dieser Phase:
    • Erhalten Sie möglicherweise Anfragen nach zusätzlichen Informationen.
    • Erhalten Sie möglicherweise eine Benachrichtigung, dass die Sicherheitslücke nicht in das Programm aufgenommen wird, weil sie die Programmkriterien nicht erfüllt oder keine ausreichenden Details bereitgestellt wurden. (Antworten auf Ablehnungen richten Sie bitte an cvd@ptc.com)
  • Eine Lösung entwickeln und je nach Kritikalität der Sicherheitslücke angemessene Maßnahmen ergreifen.
  • Den Sicherheitsforscher öffentlich bekannt geben, sofern dies gewünscht wird und der Bericht zu einer veröffentlichten Korrektur oder Mitteilung führt.

Wenn notwendig oder wenn wir nicht in der Lage sind, Kommunikations- oder andere Probleme zu lösen, kann PTC ggf. einen neutralen Dritten (z. B. CERT/CC, DHS-ICS-CERT oder die zuständige Regulierungsbehörde) hinzuziehen, um Unterstützung beim richtigen Umgang mit der Sicherheitslücke zu erhalten.

Hinweis: Alle Informationen, die an PTC übermittelt werden, können von PTC im eigenen Ermessen verwendet werden. Durch die Übermittlung von Informationen entstehen keine Rechte für den Sender und keine Pflichten für PTC.