Perché dovresti segnalare le vulnerabilità?

Invitiamo calorosamente tutti — sia che siate clienti di METTLER TOLEDO o meno — a condividere il vostro prezioso feedback su tutti i prodotti e le soluzioni MT! Le vostre opinioni sono fondamentali per noi. Vi assicuriamo che tutti i dati, in particolare le informazioni personali, saranno trattati con la massima riservatezza e senza la necessità di un accordo di non divulgazione.

Segnalando le vulnerabilità, svolgete un ruolo fondamentale nell'aiutarci a migliorare i nostri prodotti. Ci consentite di affrontare tempestivamente questi problemi e di tenere informati i nostri clienti sulle misure di mitigazione, le soluzioni alternative e le correzioni. Questo approccio collaborativo ci permette di rafforzare la solidità e l'affidabilità dei prodotti e delle soluzioni MT, consentendo in definitiva ai nostri clienti di gestire efficacemente i rischi per la sicurezza.

Come puoi segnalare le vulnerabilità?

Incoraggiamo vivamente tutti a segnalare qualsiasi vulnerabilità relativa alla sicurezza dei prodotti o delle soluzioni MT. Fornire informazioni complete, precise e dettagliate aiuta il nostro Product Security Incident Response Team (PSIRT) a rispondere in modo più efficace ed efficiente.

Per vostra comodità, MT offre due semplici modi per contattarci. 

1. E-mail a psirt@mt.com

2. In modo indiretto tramite il nostro Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/

Entrambi i canali di comunicazione sopra indicati sono monitorati dal lunedì al venerdì dalle 8:00 alle 17:00 CET. 

La lingua preferita è l'inglese.

Chi riceverà la segnalazione?

METTLER TOLEDO garantisce che la segnalazione venga messa a disposizione degli specialisti necessari, dotati delle competenze per affrontare il problema descritto. L'accesso alla segnalazione sarà limitato ai soli dipendenti MT, garantendo che nessuna parte esterna possa visualizzarla.

Inoltre, MT si impegna a mantenere riservate le informazioni di contatto della parte segnalante, salvo che la parte segnalante richieda esplicitamente che tali informazioni vengano divulgate.

Cosa verrà fatto con la segnalazione?

Il METTLER TOLEDO PSIRT è un team centrale e interdisciplinare che esaminerà attentamente l'impatto e la rilevanza della vulnerabilità segnalata sui prodotti e sulle soluzioni MT.

Quanto rapidamente reagirà MT PSIRT?

In genere, la ricezione di una vulnerabilità segnalata verrà confermata entro due giorni lavorativi. Grazie per la vostra dedizione nel migliorare la sicurezza dei prodotti MT!

Qual è l'approccio per risolvere il problema?

Presso METTLER TOLEDO, la gestione delle problematiche di sicurezza comporta spesso l’allineamento dei nostri processi di sviluppo per la sicurezza e la protezione con i requisiti industriali, il che può influire sui tempi di implementazione delle misure di mitigazione o delle correzioni. Apprezziamo la vostra pazienza durante questo processo e, se desiderato, manterremo una stretta comunicazione con il segnalante.

Poiché molti componenti e sistemi MT sono fortemente integrati nell’infrastruttura dei nostri clienti, chiediamo che il segnalante coordini con noi qualsiasi divulgazione di informazioni. Ciò garantisce che le informazioni non vengano diffuse prematuramente, prima che siano in atto misure di mitigazione, soluzioni alternative o correzioni effettive adeguate.

Grazie per la vostra comprensione e collaborazione!

Come verrà informato il pubblico dell'esito?

Per le vulnerabilità classificate come Critiche o Alte, METTLER TOLEDO richiederà un numero CVE (Common Vulnerabilities and Exposures) e gli avvisi di sicurezza saranno pubblicati sulla nostra piattaforma partner, CERT@VDE. Per le vulnerabilità classificate come Medie e Basse, le informazioni saranno incluse nelle note di rilascio della versione successiva del prodotto.

I clienti possono scegliere di registrarsi a un feed RSS/Atom oppure possono consultare direttamente i prodotti e le soluzioni MT su CERT@VDE.

In casi estremi, ad esempio quando la sicurezza funzionale è a rischio, i clienti interessati saranno contattati direttamente il più rapidamente possibile. Valutiamo attentamente ogni vulnerabilità e seguiamo una politica di divulgazione responsabile. In rare occasioni, METTLER TOLEDO può anche fornire commenti su vulnerabilità che non interessano i prodotti e le soluzioni MT.

Che cosa contiene l'avviso?

Un avviso fornisce i fatti rilevanti e la cronologia della vulnerabilità, garantendo che clienti e parti interessate siano adeguatamente informati.

Si prega di consultare una guida per informazioni preziose (tutte le informazioni sono volontarie)

· Contatto personale (Nome, Organizzazione, E-mail, Telefono, Paese)

· Descrizione della vulnerabilità (effetto, come riprodurla, file di log, pcap, CWE-ID, CVE-ID se disponibile)

· Nome del prodotto interessato

· Versione software del prodotto interessato

· Numero di serie del prodotto interessato

· Commenti aggiuntivi

· Divulgazione (prevedete di divulgare, oppure la vulnerabilità è già stata divulgata?)

· Possiamo o dobbiamo contattarvi?

Open Source Software

In METTLER TOLEDO sosteniamo con convinzione il concetto di Open Source Software come componente fondamentale della trasformazione digitale.

Il nostro impegno è portare beneficio ai nostri clienti, ai dipendenti e alla comunità più ampia, contribuendo attivamente a questo ecosistema collaborativo.


Se hai domande sull'uso dell'Open Source e sulla gestione delle licenze in METTLER TOLEDO, contatta il nostro Open Source Compliance Officer (OSCO) all'indirizzo osco@mt.com.

Voglio...
Hai bisogno di assistenza?
Il nostro team è qui per raggiungere i tuoi obiettivi. Parla con i nostri esperti.