Portugal | português

Security Incident Management

Por que o gerenciamento de incidentes (Incident Management) é necessário?

Não é possível evitar totalmente as lacunas de segurança em softwares. Portanto, é importante informarmos os usuários e os administradores sobre essas lacunas a tempo para que possam tomar as contramedidas necessárias antes de ocorrer um dano. Para que isso funcione de modo controlado, é importante estabelecer um gerenciamento adequado na empresa, inclusive com uma equipe de resposta sobre incidentes com a segurança do produto (em inglês, Product Security Incident Response Team, PSIRT).

O que é uma notificação de segurança de TI (Security Advisory)?

Uma notificação de segurança (em inglês, Security Advisory) informa sobre a existência de lacunas de segurança nos nossos produtos e normalmente é formada pelos seguintes componentes:

  • descrição da vulnerabilidade,
  • estimativa da criticidade da vulnerabilidade na forma de uma pontuação CVSS*,
  • listagem dos produtos afetados, inclusive sua versão,
  • possíveis contramedidas e, se houver, agradecimentos àqueles que nos reportaram a vulnerabilidade.

*O sistema de pontuação de vulnerabilidade comum (em inglês, Common Vulnerability Scoring System, CVSS) é um procedimento padrão reconhecido internacionalmente para avaliar a criticidade de uma vulnerabilidade. Atualmente, o CVSS está na versão 3.0. O CVSSv3 define uma pontuação de 0–10, sendo que a menor criticidade recebe nota 0 e a maior recebe nota 10.

Security Advisory

Veja aqui as Security Advisories atuais.

Security Advisories

A equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz

Equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz

Os especialistas em security da PSIRT da Pilz analisam, avaliam e processam as possíveis vulnerabilidades de segurança bem como os acontecimentos de security nos produtos e nas soluções da Pilz. Se a vulnerabilidade for confirmada, as Security Advisories da PSIRT da Pilz divulgarão a informação com as orientações para solucioná-la.

Dessa forma, queremos encorajar que especialistas em segurança, pesquisadores independentes, clientes e outras pessoas nos notifiquem caso encontrem problemas de segurança nos nossos produtos e nas nossas soluções. Apenas assim é possível discutir outras atividades, coordená-las e aprimorar os produtos e as soluções de security. Para não colocar em risco os nossos clientes nem as pessoas não envolvidas, solicitamos a publicação coordenada das vulnerabilidades considerando a nossa PSIRT.

Processo de gerenciamento de incidentes da Pilz

Relate os problemas de security dos nossos produtos e das nossas soluções de forma criptografada com a PGP Public Key para: security@pilz.com

Na sua mensagem, inclua sempre as seguintes informações:

  • número de item do produto afetado;
  • software do equipamento e firmware (se houver);
  • Exploit ou outros dados que nos ajudem a reproduzir o problema;
  • indicação se a vulnerabilidade já foi publicada (por você ou outro órgão).

1. Analisar: nossa PSIRT examina a vulnerabilidade notificada e solicita mais informações à pessoa informante, se necessário. Observe que, dependendo da complexidade da vulnerabilidade e do tipo do produto, esse exame pode demorar alguns dias ou até semanas. Independente disso, retornamos ao informante pela primeira vez em, no máximo, 15 dias úteis.

2. Definir as medidas: as atualizações são preparadas dependendo da gravidade da vulnerabilidade e de possíveis outras restrições. No caso de uma vulnerabilidade grave, a Pilz prepara uma Security Advisory. Notificamos o informante regularmente sobre o estado durante o processo.

3. Publicar: a Security Advisory pronta e os patchs relacionados serão publicados aqui e ficam disponíveis para download para todos os clientes. Para fazer o download, é preciso entrar com o seu nome de usuário. Se você ainda não tiver um perfil, registre-se gratuitamente aqui. Observe que, dependendo da gravidade da vulnerabilidade, é possível que os patchs sejam liberados somente no âmbito do ciclo de publicação típico do produto.

Security Advisories

Mais sobre a Security 4.0

Contact

Pilz Industrieelektronik S.L.
Rotunda Eng. Egdar Cardoso, Nº 23, 5º - Sala E (Edifício Tower Plaza)
4400-676 Vila Nova de Gaia
Portugal

Telefone: +351 229 407 594
Email: info@pilz.pt

Suporte Técnico

Telefone: +351 229 407 594
Email: suporte@pilz.pt