Tiếng Việt

Tại sao bạn nên báo cáo lỗ hổng bảo mật?

Chúng tôi trân trọng mời tất cả mọi người — dù bạn là khách hàng của METTLER TOLEDO hay không — hãy chia sẻ những phản hồi quý giá của mình về tất cả các sản phẩm và giải pháp của MT! Những ý kiến của bạn rất quan trọng đối với chúng tôi. Chúng tôi cam kết rằng mọi dữ liệu, đặc biệt là thông tin cá nhân, sẽ được xử lý với mức độ bảo mật cao nhất và không cần thỏa thuận bảo mật.

Bằng cách báo cáo các lỗ hổng, bạn đóng vai trò thiết yếu trong việc giúp chúng tôi cải tiến sản phẩm. Điều này cho phép chúng tôi xử lý kịp thời các vấn đề này và thông báo cho khách hàng về các biện pháp giảm thiểu, giải pháp tạm thời và bản sửa lỗi. Cách tiếp cận hợp tác này giúp chúng tôi tăng cường độ bền vững và độ tin cậy của các sản phẩm và giải pháp MT, từ đó giúp khách hàng quản lý rủi ro bảo mật một cách hiệu quả.

Bạn có thể báo cáo lỗ hổng bảo mật như thế nào?

Chúng tôi khuyến khích mạnh mẽ mọi người báo cáo bất kỳ lỗ hổng nào liên quan đến bảo mật đối với các sản phẩm hoặc giải pháp MT. Việc cung cấp thông tin đầy đủ, chính xác và chi tiết giúp Đội Ứng phó Sự cố An ninh Sản phẩm (PSIRT) của chúng tôi phản hồi hiệu quả và nhanh chóng hơn.

Để thuận tiện cho bạn, MT cung cấp hai cách dễ dàng để liên hệ với chúng tôi. 

1. Gửi e-mail tới psirt@mt.com

2. Gián tiếp qua Partner CERT@VDE của chúng tôi: https://cert.vde.com/helper/reportvuln/

Cả hai kênh liên lạc nêu trên đều được giám sát từ thứ Hai đến thứ Sáu, từ 8:00 đến 17:00 CET. 

Ngôn ngữ ưu tiên là tiếng Anh.

Ai sẽ nhận được báo cáo?

METTLER TOLEDO đảm bảo rằng báo cáo được cung cấp cho các chuyên gia cần thiết, những người có đủ năng lực để xử lý vấn đề được mô tả. Quyền truy cập vào báo cáo sẽ chỉ giới hạn cho nhân viên MT, đảm bảo rằng không có bên ngoài nào có thể xem báo cáo này.

Ngoài ra, MT cam kết giữ kín thông tin liên hệ của bên báo cáo, trừ khi bên báo cáo có yêu cầu cụ thể rằng thông tin của họ được tiết lộ.

Báo cáo sẽ được xử lý như thế nào?

METTLER TOLEDO PSIRT là một nhóm trung tâm, liên ngành, sẽ xem xét kỹ lưỡng tác động và mức độ liên quan của lỗ hổng được báo cáo đối với các sản phẩm và giải pháp MT.

MT PSIRT sẽ phản ứng nhanh như thế nào?

Thông thường, việc tiếp nhận lỗ hổng được báo cáo sẽ được xác nhận trong vòng hai ngày làm việc. Cảm ơn bạn đã tận tâm góp phần nâng cao tính bảo mật của các sản phẩm MT!

Cách tiếp cận để khắc phục vấn đề là gì?

Tại METTLER TOLEDO, việc xử lý các vấn đề bảo mật thường đòi hỏi điều chỉnh các quy trình phát triển an toàn và bảo mật của chúng tôi cho phù hợp với các yêu cầu công nghiệp, điều này có thể ảnh hưởng đến tiến độ triển khai các biện pháp giảm thiểu hoặc bản sửa lỗi. Chúng tôi trân trọng sự kiên nhẫn của bạn trong quá trình này và, nếu được yêu cầu, sẽ duy trì liên lạc chặt chẽ với bên báo cáo.

Vì nhiều thành phần và hệ thống MT được tích hợp sâu vào hạ tầng của khách hàng, chúng tôi đề nghị bên báo cáo phối hợp mọi việc công bố thông tin với chúng tôi. Điều này nhằm đảm bảo thông tin không bị công bố quá sớm, trước khi các biện pháp giảm thiểu phù hợp, giải pháp tạm thời hoặc bản sửa lỗi thực sự được triển khai.

Xin cảm ơn sự thấu hiểu và hợp tác của bạn!

Công chúng sẽ được thông báo về kết quả như thế nào?

Đối với các lỗ hổng được xếp hạng Nghiêm trọng hoặc Cao, METTLER TOLEDO sẽ yêu cầu một số CVE (Common Vulnerabilities and Exposures), và các khuyến cáo bảo mật sẽ được công bố trên nền tảng đối tác của chúng tôi, CERT@VDE. Đối với các lỗ hổng được xếp hạng Trung bình và Thấp, thông tin sẽ được đưa vào ghi chú phát hành của phiên bản sản phẩm tiếp theo.

Khách hàng có thể đăng ký nhận nguồn cấp RSS/Atom hoặc có thể trực tiếp kiểm tra các sản phẩm và giải pháp MT trên CERT@VDE.

Trong những trường hợp cực đoan, chẳng hạn khi an toàn chức năng bị đe dọa, các khách hàng bị ảnh hưởng sẽ được liên hệ trực tiếp sớm nhất có thể. Chúng tôi đánh giá cẩn trọng từng lỗ hổng và tuân theo chính sách công bố có trách nhiệm. Trong một số trường hợp hiếm hoi, METTLER TOLEDO cũng có thể cung cấp nhận xét về các lỗ hổng không ảnh hưởng đến các sản phẩm và giải pháp MT.

Có gì trong Thông báo tư vấn?

Một khuyến cáo cung cấp các факт liên quan và lịch sử của lỗ hổng, bảo đảm rằng khách hàng và các bên liên quan được thông tin đầy đủ.

Vui lòng xem một hướng dẫn để biết thông tin hữu ích (Tất cả thông tin là tự nguyện)

· Liên hệ cá nhân (Tên, Tổ chức, E-mail, Điện thoại, Quốc gia)

· Mô tả lỗ hổng (tác động, cách tái hiện, nhật ký, pcap, CWE-ID, CVE-ID nếu có)

· Tên của sản phẩm bị ảnh hưởng

· Phiên bản phần mềm của sản phẩm bị ảnh hưởng

· Số sê-ri của sản phẩm bị ảnh hưởng

· Bình luận bổ sung

· Công bố (Bạn có dự định công bố không, hay lỗ hổng đã được công bố rồi?)

· Chúng tôi có thể hoặc nên liên hệ với bạn không?

Phần mềm Nguồn Mở

Tại METTLER TOLEDO, chúng tôi hoàn toàn ủng hộ khái niệm Phần mềm Nguồn Mở như một thành phần thiết yếu của quá trình chuyển đổi số.

Cam kết của chúng tôi là mang lại lợi ích cho khách hàng, nhân viên và cộng đồng rộng lớn hơn, đồng thời tích cực đóng góp vào hệ sinh thái hợp tác này.


Nếu bạn có bất kỳ câu hỏi nào liên quan đến việc sử dụng Nguồn Mở và quản lý giấy phép tại METTLER TOLEDO, vui lòng liên hệ với Cán bộ Tuân thủ Nguồn Mở (OSCO) của chúng tôi qua osco@mt.com.

Tôi muốn…
Bạn cần hỗ trợ?
Đội ngũ của Chúng tôi luôn sẵn sàng.