Site global | português

Security Incident Management

Por que o gerenciamento de incidentes (Incident Management) é necessário?

Não é possível evitar totalmente as lacunas de segurança em softwares. Portanto, é importante informarmos os usuários e os administradores sobre essas lacunas a tempo para que possam tomar as contramedidas necessárias antes de ocorrer um dano. Para que isso funcione de modo controlado, é importante estabelecer um gerenciamento adequado na empresa, inclusive com uma equipe de resposta sobre incidentes com a segurança do produto (em inglês, Product Security Incident Response Team, PSIRT).

O que é uma notificação de segurança de TI (Security Advisory)?

Uma notificação de segurança (em inglês, Security Advisory) informa sobre a existência de lacunas de segurança nos nossos produtos e normalmente é formada pelos seguintes componentes:

  • descrição da vulnerabilidade,
  • estimativa da criticidade da vulnerabilidade na forma de uma pontuação CVSS*,
  • listagem dos produtos afetados, inclusive sua versão,
  • possíveis contramedidas e, se houver, agradecimentos àqueles que nos reportaram a vulnerabilidade.

*O sistema de pontuação de vulnerabilidade comum (em inglês, Common Vulnerability Scoring System, CVSS) é um procedimento padrão reconhecido internacionalmente para avaliar a criticidade de uma vulnerabilidade. Atualmente, o CVSS está na versão 3.0. O CVSSv3 define uma pontuação de 0–10, sendo que a menor criticidade recebe nota 0 e a maior recebe nota 10.

Security Advisory

Veja aqui as Security Advisories atuais.

Security Advisories

A equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz

Equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz

Os especialistas em security da PSIRT da Pilz analisam, avaliam e processam as possíveis vulnerabilidades de segurança bem como os acontecimentos de security nos produtos e nas soluções da Pilz. Se a vulnerabilidade for confirmada, as Security Advisories da PSIRT da Pilz divulgarão a informação com as orientações para solucioná-la.

Dessa forma, queremos encorajar que especialistas em segurança, pesquisadores independentes, clientes e outras pessoas nos notifiquem caso encontrem problemas de segurança nos nossos produtos e nas nossas soluções. Apenas assim é possível discutir outras atividades, coordená-las e aprimorar os produtos e as soluções de security. Para não colocar em risco os nossos clientes nem as pessoas não envolvidas, solicitamos a publicação coordenada das vulnerabilidades considerando a nossa PSIRT.

Processo de gerenciamento de incidentes da Pilz

Relate os problemas de security dos nossos produtos e das nossas soluções de forma criptografada com a PGP Public Key para: security@pilz.com

Na sua mensagem, inclua sempre as seguintes informações:

  • número de item do produto afetado;
  • software do equipamento e firmware (se houver);
  • Exploit ou outros dados que nos ajudem a reproduzir o problema;
  • indicação se a vulnerabilidade já foi publicada (por você ou outro órgão).

1. Analisar: nossa PSIRT examina a vulnerabilidade notificada e solicita mais informações à pessoa informante, se necessário. Observe que, dependendo da complexidade da vulnerabilidade e do tipo do produto, esse exame pode demorar alguns dias ou até semanas. Independente disso, retornamos ao informante pela primeira vez em, no máximo, 15 dias úteis.

2. Definir as medidas: as atualizações são preparadas dependendo da gravidade da vulnerabilidade e de possíveis outras restrições. No caso de uma vulnerabilidade grave, a Pilz prepara uma Security Advisory. Notificamos o informante regularmente sobre o estado durante o processo.

3. Publicar: a Security Advisory pronta e os patchs relacionados serão publicados aqui e ficam disponíveis para download para todos os clientes. Para fazer o download, é preciso entrar com o seu nome de usuário. Se você ainda não tiver um perfil, registre-se gratuitamente aqui. Observe que, dependendo da gravidade da vulnerabilidade, é possível que os patchs sejam liberados somente no âmbito do ciclo de publicação típico do produto.

Security Advisories

Mais sobre a Security 4.0

Sede

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemanha

Telefone: +49 711 3409-0
Email: pilz.gmbh@pilz.de

Suporte Técnico

Telefone: +49 711 3409 444
Email: support@pilz.com

Américas

  • Estados Unidos (gratuito): +1 877-PILZUSA (745-9872)
  • Canadá: +1 888-315-PILZ (315-7459)
  • México: +52 55 5572 1300
  • Brasil: + 55 11 4942-7028

Europa

  • Finlândia: +358 10 3224030 / +45 74436332
  • Reino Unido: +44 1536 462203
  • Áustria: +43 1 7986263-444
  • Dinamarca: +45 74436332
  • Turquia: +90 216 5775552
  • Suécia: +46 300 13990 / +45 74436332
  • Irlanda: +353 21 4804983
  • França (gratuito): +33 3 88104000
  • Holanda: +31 347 320477
  • Alemanha: +49 711 3409 444
  • Suíça: +41 62 88979 32
  • Rússia: +7 495 6654993
  • Espanha: +34 938497433
  • Itália: +39 0362 1826711
  • Bélgica: +32 9 321 75 70

Ásia Pacífico

  • Taiwan: +886 2 25700068
  • China: +86 400-088-3566
  • Coreia do Sul: +82 31 778 3390
  • Nova Zelândia: +64 9 6345350
  • Japão: +81 45 471 2281
  • Austrália: +61 3 9560 0621