Security Incident Management

Por que o gerenciamento de incidentes (Incident Management) é necessário?

Não é possível evitar totalmente as lacunas de segurança em softwares. Portanto, é importante informarmos os usuários e os administradores sobre essas lacunas a tempo para que possam tomar as contramedidas necessárias antes de ocorrer um dano. Para que isso funcione de modo controlado, é importante estabelecer um gerenciamento adequado na empresa, inclusive com uma equipe de resposta sobre incidentes com a segurança do produto (em inglês, Product Security Incident Response Team, PSIRT).

O que é uma Security Advisory (notificação de segurança)?

Uma notificação de segurança (em inglês, Security Advisory) informa sobre a existência de lacunas de segurança nos nossos produtos e normalmente é formada pelos seguintes componentes:

  • descrição da vulnerabilidade,
  • estimativa da criticidade da vulnerabilidade na forma de uma pontuação CVSS*,
  • listagem dos produtos afetados, inclusive sua versão,
  • possíveis contramedidas e, se houver, agradecimentos àqueles que nos reportaram a vulnerabilidade.

*O sistema de pontuação de vulnerabilidade comum (em inglês, Common Vulnerability Scoring System, CVSS) é um procedimento padrão reconhecido internacionalmente para avaliar a criticidade de uma vulnerabilidade. Atualmente, o CVSS está na versão 3.0. O CVSSv3 define uma pontuação de 0 a 10, sendo que a menor criticidade recebe nota 0 e a maior recebe nota 10.

Security Advisory

Veja aqui as Security Advisories atuais.

Security Advisories

A equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz

Equipe de resposta sobre incidentes com a segurança do produto (Product Security Incident Response Team, PSRIT) da Pilz

Os especialistas em Security da PSIRT da Pilz analisam, avaliam e processam as possíveis vulnerabilidades de segurança bem como os acontecimentos de Security nos produtos e nas soluções da Pilz. Se a vulnerabilidade for confirmada, as Security Advisories da PSIRT da Pilz divulgarão a informação com as orientações para solucioná-la.

Dessa forma, queremos encorajar que especialistas em segurança, pesquisadores independentes, clientes e outras pessoas nos notifiquem caso encontrem problemas de segurança nos nossos produtos e nas nossas soluções. Apenas assim é possível discutir outras atividades, coordená-las e aprimorar os produtos e as soluções de Security. Para não colocar em risco os nossos clientes nem as pessoas não envolvidas, solicitamos a publicação coordenada das vulnerabilidades considerando a nossa PSIRT.

É assim que você entra em contato com a PSIRT da Pilz

Os especialistas em Security da PSIRT da Pilz processam e avaliam todas as mensagens sobre possíveis vulnerabilidades da Security nos produtos da Pilz. Se você tem perguntas sobre a Security dos nossos produtos ou da nossa infraestrutura, ou caso deseje notificar brechas de segurança, entre em contato com os nossos especialistas de Security da PSIRT. Comunique-se com a PSIRT em alemão ou inglês. Normalmente, você receberá o primeiro retorno em dois dias úteis (CET).

Informe os problemas de segurança dos nossos produtos, soluções e serviços online:

Contado da PSIRT

Incluir as seguintes informações com a sua mensagem:

  • Código do produto afetado
  • Aparelho e firmware (se disponível)
  • Se aplicável, exploit ou dados adicionais que podem nos ajudar a reproduzir o problema
  • Aviso se a vulnerabilidade já foi divulgada (por você ou outro órgão)

Processo de gerenciamento de incidentes da Pilz

1. Analisar: nossa PSIRT examina a vulnerabilidade notificada e solicita mais informações à pessoa informante, se necessário. Observe que, dependendo da complexidade da vulnerabilidade e do tipo do produto, esse exame pode demorar alguns dias ou até semanas. Independente disso, retornamos ao informante pela primeira vez em, no máximo, 15 dias úteis.

2. Definir as medidas: as atualizações são preparadas dependendo da gravidade da vulnerabilidade e de possíveis outras restrições. No caso de uma vulnerabilidade grave, a Pilz prepara uma Security Advisory. Notificamos o informante regularmente sobre o estado durante o processo.

3. Publicar: a Security Advisory pronta e os patches relacionados serão publicados aqui e ficam disponíveis para download para todos os clientes. Para fazer o download, é preciso entrar com o seu nome de usuário. Se você ainda não tiver um perfil, registre-se gratuitamente aqui. Observe que, dependendo da gravidade da vulnerabilidade, é possível que os patches sejam liberados somente no âmbito do ciclo de publicação típico do produto.

Security Advisories

Mais sobre Security industrial

Contact

Nuno Silva
Rotunda Eng. Egdar Cardoso, Nº 23, 5º - Sala E (Edifício Tower Plaza)
4400-676 Vila Nova de Gaia
Portugal

Telefone: +351 911 780 281
Email: info@pilz.pt

Suporte Técnico

Telefone: +351 229 407 594
Email: suporte@pilz.pt