Nahlášení porušování soukromí či problému se zabezpečením

Do formuláře prosím uveďte všechny relevantní informace včetně podrobného popisu svého problému. Zařaďte svůj problém do jedné z následujících kategorií:

  • Zranitelnost softwaru ArcGIS – nahlášení slabiny v zabezpečení ArcGIS Online nebo produktu od Esri.
  • Problém ochrany osobních údajů: Software ArcGIS – problém týkající se ochrany osobních údajů související s některou z našich aplikací, například ArcGIS Online nebo jiným produktem od Esri.
  • Problém ochrany osobních údajů – problém týkající se ochrany osobních údajů související s naší organizací, například marketingové materiály nebo podnikové webové stránky Esri.com.
  • Problém ochrany osobních údajů: Nebezpečné stránky nebo URL – nahlaste zneužití značky Esri. Týká se také falešných domén zdánlivě propojených s Esri, poskytovatelů prolomeného softwaru Esri s odstraněnými ochrannými prvky nebo phishingových stránek cílených na zákazníky nebo zaměstnance Esri.
  • Jiné – všechny ostatní problémy související se zabezpečením, ochranou osobních údajů nebo dodržováním standardů.

Vaše kontaktní údaje použijeme pouze k tomu, abychom se s vámi mohli spojit v návaznosti na uvedené informace.

Tým pro řešení bezpečnostních hrozeb v produktech Esri (Esri PSIRT) poskytuje veřejný klíč PGP, který se používá pro komunikaci s naším týmem. Tento klíč prosím použijte vždy při zadávání podrobností o ohrožení zabezpečení softwaru společnosti Esri.

Zásady pro hlášení ohrožení zabezpečení

Bezpečnostní tým Esri PSIRT si je vědom významu nezávislých bezpečnostních specialistů v otázce internetového zabezpečení. Doporučujeme zodpovědně nahlásit všechna případná ohrožení zabezpečení, která naleznete na našem webu nebo v některé z našich aplikací. Společnost Esri usiluje o spolupráci s komunitou zabývající se zabezpečením, aby mohla ověřovat a reagovat na všechny nahlášené problémy týkající se ohrožení zabezpečení. V případě dodržování těchto zásad nebude společnost Esri vznášet žaloby ani vést vyšetřování.

Společnost Esri nepovoluje následující typy průzkumu zabezpečení:

  • Vyvolání nebo pokus o vyvolání stavu Odmítnutí služby (Denial of Service, DoS).
  • Používání nástrojů pro automatizované zabezpečení bez výslovného souhlasu společnosti Esri. Používání automatizovaných nástrojů může mít za následek vyšetřování nebo zablokování vámi používaných IP adres.
  • Aktivity zahrnující přístup nebo pokus o získání přístupu k informacím, které vám nepřísluší.
  • Aktivity zahrnující zničení nebo pokus o zničení či poškození dat nebo informací, které vám nepřísluší.

Analytici (Researchers), hlavní a dílčí CNA:

  • Esri je oficiální autoritou pro přidělování CVE čísel (CVE Numbering Authority, CNA) pro řadu softwarových produktů Esri.
  • Esri přiděluje identifikátory CVE pro zranitelnosti podle koordinovaného oznamování zranitelností.
  • Esri zveřejní upozornění na zranitelnosti ve chvíli, kdy budou k dispozici opravy řešící identifikovanou zranitelnost.
  • Opravy jsou poskytovány pro software v režimu všeobecné dostupnosti a rozšířenou podporu v rámci životního cyklu produktu Esri.
  • Opravy se neposkytují pro software ve stavu základní podpory ani software s ukončenou podporou.
  • Zákazníci používající software se základní podporou nebo software s ukončenou podporou by měli přejít na aktuální verzi softwaru, aby odstranili zranitelnosti, které jsou opraveny v souladu s životním cyklem produktu Esri.

Ohrožení zabezpečení komponent třetích stran

Software Esri často obsahuje knihovny a binární soubory třetích stran nebo open source. Před odesláním žádosti o ověření toho, jak potenciální problém se zabezpečením komponenty třetí strany ovlivňuje software Esri, si přečtěte dokument Reakce Esri na výčty známých zranitelností (CVE) vydané vůči softwaru třetích stran, který naleznete na kartě Dokumenty.

Závazek týmu Esri PSIRT pro řešení bezpečnostních hrozeb v produktech

Tým pro řešení bezpečnostních hrozeb v produktech se všem bezpečnostním specialistům dodržujícím Zásady pro hlášení ohrožení zabezpečení zavazuje, že bude:

  • Včas reagovat a potvrzovat přijetí hlášení.
  • Informovat o předpokládaném časovém rámci nutném pro vyřešení konkrétního ohrožení zabezpečení.
  • Informovat osoby, které ohrožení zabezpečení nahlásily, o jeho vyřešení.
Podílející se bezpečnostní specialisté

Chtěli bychom poděkovat následujícím bezpečnostním specialistům za účast v našem programu zodpovědného hlášení:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito

Pokud požadujete ověření automaticky provedeného skenu zranitelnosti softwaru Esri, přečtěte si naše Pokyny a požadavky pro automatické zjišťování zranitelnosti. Pokud máte obavy z komponenty třetí strany objevené v systému ArcGIS, prohlédněte si naši aplikaci pro reakci na CVE komponenty třetí strany.
(Obě vyžadují přihlášení do systému ArcGIS).
Pokud daná zranitelnost není nalezena v aplikaci pro reakci na zranitelnost komponenty třetí strany, ověřte, zda se problém nachází v katalogu známých zneužitelných zranitelností (KEV) americké CISA
.Skeny odeslané bez splnění těchto předpokladů budou zamítnuty.

Odeslat