Waarom zou u kwetsbaarheden melden?

Wij nodigen iedereen van harte uit, of u nu klant van METTLER TOLEDO bent of niet, om waardevolle feedback te delen over al onze producten en oplossingen. Uw inzichten zijn voor ons van essentieel belang. Wij garanderen dat alle ontvangen gegevens, en in het bijzonder persoonlijke informatie, met de grootst mogelijke vertrouwelijkheid worden behandeld, zonder dat er een geheimhoudingsovereenkomst nodig is.

Door veiligheidskwetsbaarheden te melden, speelt u een cruciale rol in het verbeteren van onze producten. Dit stelt ons in staat om problemen snel te identificeren en op te lossen, en onze klanten tijdig te informeren over mitigerende maatregelen, tijdelijke oplossingen en definitieve oplossingen. Deze samenwerking versterkt de robuustheid en betrouwbaarheid van de producten en oplossingen van METTLER TOLEDO, zodat onze klanten veiligheidsrisico's effectief kunnen beheersen.

Hoe kunt u kwetsbaarheden melden?

Wij moedigen iedereen sterk aan om veiligheidsgerelateerde kwetsbaarheden met betrekking tot producten en oplossingen van METTLER TOLEDO te melden. Het verstrekken van volledige, nauwkeurige en gedetailleerde informatie stelt ons Product Security Incident Response Team (PSIRT) in staat om sneller en effectiever te reageren.

Voor uw gemak biedt METTLER TOLEDO twee eenvoudige contactmogelijkheden: 

1. E-mail naar psirt@mt.com

2. Via onze Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/

Beide communicatiekanalen worden bewaakt van maandag tot en met vrijdag van 8:00 tot 17:00 CET. 

De voorkeurstaal voor correspondentie is Engels.

Wij waarderen uw betrokkenheid bij het verbeteren van de veiligheid van onze producten en oplossingen.

Wie ontvangt de melding?

METTLER TOLEDO zorgt ervoor dat het rapport uitsluitend beschikbaar wordt gesteld aan de noodzakelijke specialisten binnen de organisatie die gekwalificeerd zijn om het gemelde probleem aan te pakken. Toegang tot het rapport is strikt beperkt tot medewerkers van METTLER TOLEDO, zodat externe partijen geen inzage krijgen.

Daarnaast verbindt METTLER TOLEDO zich ertoe de contactgegevens van de meldende partij vertrouwelijk te behandelen, tenzij de meldende partij uitdrukkelijk toestemming geeft om deze informatie te delen.

Wat wordt er met de melding gedaan?

Het PSIRT van METTLER TOLEDO is een centraal, interdisciplinair team dat de impact en relevantie van gemelde kwetsbaarheden in producten en -oplossingen van METTLER TOLEDO grondig beoordeelt en analyseert.

Hoe snel zal PSIRT van METTLER TOLEDO reageren?

Gewoonlijk bevestigen wij de ontvangst van een gemelde kwetsbaarheid binnen twee werkdagen. Hartelijk dank voor uw inzet om de veiigheid van de producten van METTLER TOLEDO te verbeteren!

Wat is de aanpak voor het oplossen van het probleem?

Bij METTLER TOLEDO betekent het oplossen van veiligheidsproblemen vaak dat onze ontwikkelprocessen voor veiligheid worden afgestemd op industriële vereisten. Dit kan invloed hebben op de tijdlijn voor het doorvoeren van mitigerende maatregelen of oplossingen. We waarderen uw geduld tijdens dit proces en zullen, indien gewenst, nauw contact onderhouden met de meldende partij.

Omdat veel componenten en -systemen van METTLER TOLEDO diep geïntegreerd zijn in de infrastructuur van onze klanten, vragen wij de meldende partij om eventuele openbaarmaking van informatie met ons af te stemmen. Dit voorkomt voortijdige vrijgave van informatie voordat passende mitigerende maatregelen, tijdelijke of definitieve oplossingen beschikbaar zijn.

Wij danken u voor uw begrip en medewerking.

Hoe wordt het publiek geïnformeerd over het resultaat?

Voor kwetsbaarheden met een Critical- of High-classificatie vraagt METTLER TOLEDO een CVE-nummer (Common Vulnerabilities and Exposures) aan. Veiligheidsadviezen zullen worden gepubliceerd op ons partnerplatform, CERT@VDE. Voor kwetsbaarheden met een Medium- en Low-classificatie wordt relevante informatie opgenomen in de release notes van de volgende productversie.

Klanten kunnen zich abonneren op een RSS/Atom-feed of direct CERT@VDE raadplegen voor updates over de producten en oplossingen van METTLER TOLEDO.

In uitzonderlijke gevallen, zoals wanneer de functionele veiligheid in gevaar is, worden getroffen klanten zo snel mogelijk rechtstreeks benaderd. Wij beoordelen elke kwetsbaarheid zorgvuldig en hanteren een beleid van verantwoorde openbaarmaking. In zeldzame gevallen kan METTLER TOLEDO ook commentaar geven op kwetsbaarheden die geen invloed hebben op de producten en oplossingen van METTLER TOLEDO.

Wat staat er in het advies?

Een advies biedt een overzicht van de relevante feiten en de achtergrond van de kwetsbaarheid, zodat klanten en belanghebbenden volledig en adequaat geïnformeerd zijn.

Raadpleeg een richtlijn voor waardevolle informatie (alle informatie is vrijwillig)

· Persoonlijke contactgegevens (naam, organisatie, e-mailadres, telefoonnummer, land)

· Beschrijving van de kwetsbaarheid (effect, hoe te reproduceren, logbestanden, pcap, CWE-ID, CVE-ID indien beschikbaar)

· Naam van het getroffen product

· Softwareversie van het getroffen product

· Serienummer van het getroffen product

· Aanvullende opmerkingen

· Openbaarmaking (Bent u van plan openbaar te maken, of is de kwetsbaarheid al openbaar gemaakt?)

· Kunnen of moeten wij contact met u opnemen?

Open Source Software

Bij METTLER TOLEDO omarmen wij Open Source Software als een essentieel onderdeel van digitale transformatie.

Wij zetten ons in om onze klanten, medewerkers en de bredere gemeenschap te ondersteunen en dragen actief bij aan dit samenwerkingsgerichte ecosysteem.

Heeft u vragen over het gebruik van Open Source of licentiebeheer bij METTLER TOLEDO? Neem dan contact op met onze Open Source Compliance Officer (OSCO) via osco@mt.com.

Ik wil...
Hulp nodig?
Wij willen u helpen bij het bereiken van uw doelen. Praat met onze experts.