Relatório de Divulgação Coordenada de Vulnerabilidades da PTC (v1.0)

A PTC valoriza a pesquisa em segurança

Proteção e segurança são incrivelmente importantes para a PTC e os ecossistemas aos que servimos. À medida que observamos uma maior convergência entre sistemas físicos e digitais, todos nós devemos assumir uma responsabilidade compartilhada por desenvolver e manter sistemas mais seguros, defensáveis e resilientes. A PTC está comprometida em fazer sua parte por meio de programas e iniciativas robustos de segurança. Como uma extensão dos nossos próprios esforços, a PTC está disposta a formar parcerias com aliados interessados agindo de boa fé. Assim, a PTC agradece as contribuições valiosas oferecidas por pesquisadores de segurança. Para garantir um processo suave e racionalizado, estamos apresentando nosso Programa de Divulgação Coordenada de Vulnerabilidades.

Escopo inicial

Para o escopo inicial, esse piloto focará nos produtos com a marca ThingWorx para garantir nossa atenção total a áreas em que vulnerabilidades poderiam potencialmente afetar ambientes industriais e de segurança críticos. Nosso objetivo é ampliar o escopo para incluir produtos adicionais à medida que o programa amadurece.

Postura legal

A PTC não buscará ação legal para aqueles agindo de boa fé e de acordo com as instruções e diretrizes de coordenação descritas nesta política, incluindo conformidade com todas as leis aplicáveis.

Comunicação com a PTC

Para garantir o tratamento adequado da divulgação em ambas as direções, por favor, respeite as seguintes instruções:

  • Envie seu relatório em inglês para cvd@ptc.com
  • Use nossa chave pública PGP disponível nesta página Web ou outros métodos de criptografia para criptografar a mensagem.
  • Não inclua informações confidenciais (exceto informações relacionadas aos detalhes da vulnerabilidade) em nenhuma captura de tela ou em outros documentos ou formas de conteúdo que deseja enviar a nós./li>

Após o recebimento da sua mensagem, um funcionário da PTC confirmará seu recebimento em até sete (7) dias corridos.

O que esperamos de você

Estamos interessados em trabalhar com pesquisadores de segurança que atendem às seguintes diretrizes:

  • Evitar qualquer teste (ou atividade de hacking) em ambientes ativos (use ambientes de teste ou desenvolvimento para realizar testes de vulnerabilidades)
  • Respeitar todas as leis e regulamentações em vigor
  • Não acessar nem modificar dados em contas ou sistemas sobre os quais você não possui controle legal
  • Não tirar proveito de qualquer vulnerabilidade ou problema descobertos, não realizar ações desproporcionais ou ilegais
  • Pedimos que você trabalhe com a PTC na seleção das datas de liberação pública de informações sobre vulnerabilidades descobertas para minimizar a possibilidade de riscos para a segurança pública, proteção e privacidade
    • Informe-nos sobre seus planos de divulgação, se houver, antes de qualquer divulgação pública.
    • Envolva o DHS-ICS-CERT, CERT/CC, reguladores relevantes ou outras entidades do governo apropriadas quando achar prudente
    • Forneça detalhes sobre qualquer comunicação de vulnerabilidade (e CVE) para os coordenadores de vulnerabilidades
  • Preferência: Relatórios bem-escritos em inglês terão uma maior chance de obter resolução imediata
  • Preferência: Relatórios que incluem código de prova conceitual colaboram para melhorar nossa triagem

O que você pode esperar da PTC

Após recebermos um envio, a PTC irá:

  • Confirmar o recebimento em até sete (7) dias corridos.
  • Fazer uma avaliação inicial das descobertas potenciais para determinar a precisão, a necessidade de escalação e o grupo de produto para o qual a questão será escalada. Nessa fase, você poderá:
    • Receber solicitações de informações adicionais ou
    • Receber uma notificação de que a vulnerabilidade não pode ser aceita no programa porque não atende aos critérios do programa nem fornece detalhes suficientes. (Você poderá responder às notificações de não aceitação contatando cvd@ptc.com)
  • Desenvolver uma resolução e adotar as medidas apropriadas dependendo da pontuação de severidade da vulnerabilidade.
  • Fornecer ao pesquisador reconhecimento público, se solicitado e se o relatório resultar em uma correção ou comunicação liberada publicamente.

Quando necessário, ou se não formos capazes de resolver problemas de comunicação ou outros problemas, a PTC poderá trazer um terceiro com posicionamento neutro (como o CERT/CC, DHS-ICS-CERT ou o regulador relevante) para auxiliar na determinação da melhor forma de lidar com a vulnerabilidade.

Observação: Qualquer informação compartilhada com a PTC poderá ser usada pela PTC conforme determinado apropriado pela PTC. O envio de quaisquer informações não criará direitos para o remetente nem obrigação alguma por parte da PTC..