Отчет PTC «Скоординированное раскрытие информации об уязвимостях» (v1.0)

PTC ценит исследования безопасности

Защита и безопасность чрезвычайно важны для компании PTC и экосистем, которые мы обслуживаем. По мере того, как мы наблюдаем все большее сближение физических и цифровых систем, мы все несем общую ответственность за разработку и поддержание более безопасных, защищаемых и устойчивых систем. Компания PTC привержена выполнению своей доли обязанностей за счет эффективных программ и инициатив в области безопасности. В качестве расширения наших усилий компания PTC хочет объединиться с заинтересованными союзниками для добросовестных совместных действий. Таким образом компания PTC приветствует бесценный вклад исследователей в области безопасности. Для обеспечения бесперебойного и эффективного процесса мы внедряем программу скоординированного раскрытия информации об уязвимостях.

Первоначальный объем

В качестве первоначального объема этого пилотного проекта мы сосредоточимся на продуктах под брендом ThingWorx, чтобы обеспечить полное внимание областям, в которых уязвимости могут потенциально причинить вред промышленным и критическим для безопасности средам. Мы намерены расширить объем программы по мере ее развития, включив в нее дополнительные продукты.

Юридические положения

Компания PTC не будет инициировать юридических действий в отношении лиц, действующих добросовестно и в соответствии с координирующими инструкциями и рекомендациями, описанными в настоящей политике, включая выполнение всех применимых законов.

Обмен информацией с PTC

Для обеспечения надлежащего выполнения раскрытия информации в обоих направлениях, пожалуйста выполняйте следующие инструкции.

  • Отправьте отчет на английском языке на адрес cvd@ptc.com
  • Используйте наш открытый ключ PGP, доступный на этой веб-странице, или другие методы шифрования, чтобы зашифровать сообщение.
  • Не включайте конфиденциальную информацию (кроме связанной с деталями уязвимости) в какие-либо предоставляемые нам снимки экрана или другие документы либо содержимое.

Когда мы получим ваше сообщение, соответствующий сотрудник компании PTC подтвердит получение в течение 7 (семи) календарных дней.

Чего мы ожидаем от вас

Мы готовы работать с исследователями безопасности, которые выполняют следующие наши инструкции.

  • Избегайте какого-либо тестирования (или взлома) активных сред (используйте тестовые среды или среды разработки для тестирования уязвимостей).
  • Выполняйте все применимые законы и нормы.
  • Не получайте доступ к каким-либо данным и не изменяйте их в какой-либо учетной записи или системе, которые вы не контролируете на законной основе.
  • Не используйте какую-либо обнаруженную уязвимость или проблему; не осуществляйте каких-либо неправомерных или незаконных действий.
  • Мы просим вас сотрудничать с компанией PTC для выбора дат публикации информации обнаруженных уязвимостей с целью минимизации рисков для общественной безопасности, конфиденциальности и защиты.
    • Информируйте нас о каких-либо планах раскрытия информации до предусмотренной публикации.
    • Привлекайте организации DHS-ICS-CERT, CERT/CC, соответствующие регулирующие организации и другие соответствующие государственные органы, когда это является целесообразным.
    • Предоставляйте нам подробности каких-либо коммуникаций в связи с уязвимостью (и CVE) координаторам по вопросам уязвимостей.
  • Предпочтение: тщательно составленные отчеты на английском языке с большей вероятностью обеспечат быстрое устранение проблемы.
  • Предпочтение: отчеты, включающие код подтверждения концепции, позволяют нам быстрее классифицировать отчеты.

Чего вы можете ожидать от компании PTC

После получения отчета компания PTC выполнит следующее.

  • Подтвердит получение в течение 7 (семи) календарных дней.
  • Выполнит первоначальную оценку потенциальных выводов для определения точности, необходимости эскалации и группы продуктов, которой необходимо передать отчет. На этом этапе вы можете:
    • получить запросы дополнительной информации или
    • получить уведомление о том, что отчет об уязвимости не принят в программу, потому что он не отвечает критериям программы или не содержит достаточно подробных сведений (вы можете отвечать на любые уведомления об отклонении отчетов на адрес cvd@ptc.com)
  • Выработает решение и примет необходимые меры в зависимости от уровня критичности уязвимости.
  • Предоставит исследователю публичное признание, если требуется и если отчет приведет к публикации исправления или публичному сообщению об уязвимости.

Если возникнет необходимость или мы не сможем разрешить вопросы обмена информацией или другие проблемы, компания PTC может привлечь третью сторону (например, организации CERT/CC, DHS-ICS-CERT или соответствующий регулирующий орган), чтобы она помогла нам определить оптимальный метод обработки уязвимости.

Примечание. Любая информация, предоставленная компании PTC, может использоваться компанией PTC любым методом, определенным компанией PTC. Передача какой-либо информации не создает каких-либо прав для передавшей стороны и каких-либо обязательств для компании PTC.