PTC Coordinated Vulnerability Disclosure Reporting (v1.0)

Importanza della ricerca nel campo della protezione per PTC

I concetti di sicurezza e di protezione sono di estrema importanza per PTC e per il relativo ecosistema. In questo periodo di convergenza tra i sistemi fisici e quelli digitali, è essenziale che sia presente una responsabilità condivisa per sviluppare e mantenere sistemi più sicuri, sostenibili e resilienti. PTC si impegna a ricoprire un ruolo di primo piano mettendo a punto avanzati programmi e iniziative di protezione. A coronamento del proprio impegno in questo ambito, PTC desidera inoltre collaborare con i partner disponibili a fare la propria parte in buona fede. PTC apprezza quindi il prezioso contributo offerto dai ricercatori che operano nel campo della protezione. Per garantire un processo efficiente e ottimizzato, PTC ha introdotto il nuovo programma Coordinated Vulnerability Disclosure.

Ambito iniziale

In un primo momento, questo programma pilota si incentrerà sui prodotti a marchio ThingWorx per garantire la massima attenzione alle aree in cui eventuali vulnerabilità potrebbero compromettere ambienti critici per la sicurezza e il settore industriale. PTC intende tuttavia ampliare progressivamente l'ambito d'azione del programma e includere prodotti aggiuntivi.

Posizione legislativa

PTC non intraprenderà alcuna azione legale nei confronti di coloro che agiscono in buona fede e in conformità alle istruzioni di coordinamento e alle linee guida descritte nella presente normativa, oltre che a tutte le leggi applicabili.

Comunicazioni con PTC

Per favorire una corretta gestione della divulgazione delle informazioni, attenersi alle istruzioni seguenti:

  • Inviare il report in inglese all'indirizzo cvd@ptc.com
  • Utilizzare la chiave pubblica PGP disponibile in questa pagina Web o un altro metodo di crittografia per crittografare il messaggio.
  • Non includere informazioni riservate (ad eccezione di quelle strettamente correlate alla vulnerabilità) in qualsiasi screenshot o in altri documenti o contenuti inviati a PTC.

Dopo aver ricevuto il messaggio, un dipendente PTC designato ne confermerà la ricezione entro sette (7) giorni lavorativi.

Responsabilità dei ricercatori

PTC è disposta a collaborare con ricercatori nel campo della protezione che si attengano alle direttive seguenti:

  • Evitare attività di testing (o pirateria) in ambienti attivi (utilizzare ambienti di test o sviluppo per eseguire test di vulnerabilità)
  • Attenersi a tutte le leggi e le normative applicabili
  • Non accedere o modificare dati contenuti in qualsiasi account o sistema di cui non si detiene il controllo legale
  • Non trarre vantaggio da eventuali vulnerabilità o problemi rilevati; non compiere alcuna azione illegale o inopportuna
  • I ricercatori saranno invitati a collaborare con PTC in corrispondenza di alcune date di rilascio pubbliche per acquisire informazioni sulle vulnerabilità individuate, allo scopo di ridurre al minimo la possibilità di rischi a livello di protezione, privacy e sicurezza pubblica
    • Informare PTC su eventuali piani di divulgazione prima della data di divulgazione pubblica
    • Se opportuno, coinvolgere i CERT di competenza, gli enti di vigilanza pertinenti e altri enti pubblici appropriati
    • Fornire a PTC i dettagli di qualsiasi comunicazione su eventuali vulnerabilità e vulnerabilità ed esposizioni comuni (CVE, Common Vulnerabilities and Exposures) avvenuta con gli enti coordinatori delle vulnerabilità
  • Preferenziale: Per una risoluzione più rapida, inviare report correttamente scritti in inglese
  • Preferenziale: Per una risoluzione più rapida, inviare report correttamente scritti in inglese Preferenziale: I report corredati da un codice di verifica concettuale consentono a PTC una valutazione più efficiente

Responsabilità di PTC

Dopo aver ricevuto un report, PTC:

  • Ne confermerà la ricezione entro sette (7) giorni lavorativi
  • Effettuerà una valutazione iniziale dei potenziali risultati per stabilirne la correttezza e determinare l'eventuale necessità di riassegnazione e il gruppo prodotti a cui rassegnare il report. In questa fase, è possibile che il ricercatore:
    • Riceva la richiesta di fornire informazioni aggiuntive, oppure
    • Riceva la comunicazione che la vulnerabilità non è stata accettata nel programma perché non soddisfa i criteri del programma o perché non sono stati forniti dettagli sufficienti. (È possibile rispondere a eventuali comunicazioni di non accettazione contattando cvd@ptc.com)
  • Definirà una soluzione e intraprenderà le azioni appropriate, in base al livello di criticità della vulnerabilità.
  • Fornirà un riconoscimento pubblico al ricercatore, se richiesto e se il report ha dato origine a una comunicazione o una correzione pubblica.

Se necessario o se PTC non è in grado di risolvere problemi di comunicazione o altri tipi di problematiche, è possibile che PTC coinvolga una terza parte neutrale (ad esempio, un'organizzazione CERT o l'ente di vigilanza pertinente) per ricevere assistenza su come gestire al meglio la vulnerabilità.

Nota: Qualsiasi informazione condivisa con PTC può essere utilizzata da PTC in qualunque modo ritenuto appropriato da PTC. L'invio di qualsiasi informazione non produrrà alcun diritto per l'autore dell'invio, né alcun obbligo per PTC.