Proč byste měli hlásit zranitelnosti?

Srdečně zveme každého — ať už jste zákazníkem METTLER TOLEDO, nebo ne — aby se s námi podělil o svou cennou zpětnou vazbu ke všem produktům a řešením MT! Vaše postřehy jsou pro nás zásadní. Ujišťujeme vás, že všechna data, zejména osobní údaje, budou zpracovávána s maximální důvěrností a bez nutnosti dohody o mlčenlivosti.

Oznamováním zranitelností hrajete zásadní roli při pomoci nám zlepšovat naše produkty. Umožňuje nám to tyto problémy rychle řešit a informovat naše zákazníky o opatřeních ke zmírnění rizik, alternativních postupech a opravách. Tento společný přístup nám umožňuje posílit robustnost a spolehlivost produktů a řešení MT, což v konečném důsledku umožňuje našim zákazníkům účinně řídit bezpečnostní rizika.

Jak můžete nahlásit zranitelnosti?

Všechny vyzýváme, aby hlásili jakékoli bezpečnostní zranitelnosti související s produkty nebo řešeními MT. Poskytnutí komplexních, přesných a podrobných informací pomáhá našemu týmu pro reakci na bezpečnostní incidenty produktů (PSIRT) reagovat efektivněji a účinněji.

Pro vaše pohodlí nabízí MT dva snadné způsoby, jak nás kontaktovat. 

1. E-mailem na psirt@mt.com

2. Nepřímo prostřednictvím našeho partnera CERT@VDE: https://cert.vde.com/helper/reportvuln/

Oba výše uvedené komunikační kanály jsou monitorovány od pondělí do pátku od 8:00 do 17:00 CET. 

Preferovaný jazyk je angličtina.

Kdo obdrží hlášení?

METTLER TOLEDO zajišťuje, že je zpráva zpřístupněna příslušným specialistům, kteří jsou schopni řešit popsaný problém. Přístup ke zprávě bude omezen pouze na zaměstnance MT, takže k ní nebudou mít přístup žádné externí strany.

MT se navíc zavazuje zachovávat kontaktní údaje oznamovatele v soukromí, pokud oznamovatel výslovně nepožádá o jejich zveřejnění.

Co bude s hlášením provedeno?

Tým METTLER TOLEDO PSIRT je centrální, mezioborový tým, který důkladně posoudí dopad a význam nahlášené zranitelnosti na produkty a řešení MT.

Jak rychle bude MT PSIRT reagovat?

Přijetí nahlášené zranitelnosti je obvykle potvrzeno do dvou pracovních dnů. Děkujeme za vaši snahu o zvýšení bezpečnosti produktů MT!

Jaký je přístup k řešení problému?

Ve společnosti METTLER TOLEDO zahrnuje řešení bezpečnostních problémů často slaďování našich procesů vývoje bezpečnosti a zabezpečení s průmyslovými požadavky, což může ovlivnit časový harmonogram zavedení zmírňujících opatření nebo oprav. Vážíme si vaší trpělivosti během tohoto procesu a v případě zájmu budeme s oznamovatelem udržovat úzkou komunikaci.

Vzhledem k tomu, že mnoho komponent a systémů MT je vysoce integrováno do infrastruktury našich zákazníků, žádáme oznamovatele, aby jakékoli zveřejnění informací koordinoval s námi. Tím je zajištěno, že informace nebudou zveřejněny předčasně, dříve než budou zavedena příslušná zmírňující opatření, dočasná řešení nebo skutečné opravy.

Děkujeme za pochopení a spolupráci!

Jak bude veřejnost informována o výsledku?

U zranitelností klasifikovaných jako kritické nebo vysoce závažné požádá společnost METTLER TOLEDO o přidělení identifikátoru CVE (Common Vulnerabilities and Exposures) a bezpečnostní upozornění zveřejní prostřednictvím partnerské platformy CERT@VDE. Informace o zranitelnostech hodnocených jako středně závažné nebo nízko závažné budou uvedeny v poznámkách k vydání následující verze produktu.

Zákazníci se mohou přihlásit k odběru kanálu RSS/Atom nebo mohou přímo sledovat produkty a řešení společnosti METTLER TOLEDO na platformě CERT@VDE.

Ve výjimečných případech, například pokud je ohrožena funkční bezpečnost, budou dotčení zákazníci bezodkladně kontaktováni přímo. Každou zranitelnost pečlivě vyhodnocujeme a postupujeme v souladu se zásadami odpovědného zveřejňování informací. Ve výjimečných situacích může společnost METTLER TOLEDO zveřejnit také své stanovisko ke zranitelnostem, které se jejích produktů a řešení přímo netýkají.A

Co je v advisoriu?

Bezpečnostní doporučení poskytuje relevantní fakta a historii zranitelnosti, čímž zajišťuje, že zákazníci a zainteresované strany jsou dobře informováni.

Prosím, podívejte se na pokyny pro cenné informace (veškeré informace jsou dobrovolné)

· Osobní kontakt (jméno, organizace, e-mail, telefon, země)

· Popis zranitelnosti (dopad, jak ji reprodukovat, logovací soubory, pcap, CWE-ID, CVE-ID, pokud je k dispozici)

· Název dotčeného produktu

· Verze softwaru dotčeného produktu

· Sériové číslo dotčeného produktu

· Další komentáře

· Zveřejnění (Plánujete zveřejnění, nebo je zranitelnost již zveřejněna?)

· Můžeme vás kontaktovat, nebo si to přejete?

Open Source Software

Ve společnosti METTLER TOLEDO plně podporujeme koncept Open Source Software jako zásadní součást digitální transformace.

Naším závazkem je přinášet užitek našim zákazníkům, zaměstnancům i širší komunitě a zároveň aktivně přispívat k tomuto spolupracujícímu ekosystému.


Máte-li jakékoli dotazy týkající se používání Open Source a správy licencí ve společnosti METTLER TOLEDO, obraťte se prosím na našeho Open Source Compliance Officer (OSCO) na osco@mt.com.

Chci...
Need assistance?
Our team is here to achieve your goals. Speak with our experts.