A SEL distribui notificações classificadas como “Vulnerabilidade de Segurança” para clientes finais, diretamente e através de nossa força de vendas. Os usuários finais dos produtos SEL também podem se inscrever para receber notificações de vulnerabilidades de segurança por e-mail, incluindo informações sobre como reduzir o risco.
Nota: Para receber notificações de vulnerabilidade de segurança por e-mail, você deve ter uma conta de e-mail corporativo cujo domínio seja reconhecido pelo SEL como cliente e usuário final. Se você também deseja receber notificações de vulnerabilidade em um e-mail corporativo designado, envie uma solicitação para security@selinc.com.
Desde a nossa fundação em Pullman, Washington, em 1982, a SEL conduz os negócios seguindo um forte conjunto de valores fundamentais: qualidade, foco no cliente, disciplina, comunicação, integridade, criatividade, comunidade, responsabilidade e dignidade do trabalho. Aplicamos esses valores em tudo o que fazemos, incluindo a segurança da cadeia de suprimentos e produtos, que é uma das principais prioridades da SEL há mais de 35 anos.
Nosso objetivo sempre será inventar, projetar e criar produtos seguros para proteger a infraestrutura crítica. Quando uma vulnerabilidade é encontrada, avaliar rapidamente os riscos e informar os clientes é fundamental para manter a confiança que trabalhamos décadas para ganhar. A SEL não fabrica produtos com qualquer forma de mecanismo de desvio de autenticação não documentado ou canal de comunicação não divulgado.
Como a vida útil de um produto SEL é frequentemente medida em décadas e porque protege ou controla a infraestrutura crítica em um ambiente de ameaças em constante mudança - entendemos nossa responsabilidade e a necessidade de vigilância constante. Também entendemos que a aplicação de patches em ambientes de tecnologia operacional costuma ser cara para nossos clientes. Nosso compromisso é sempre agir com urgência e transparência durante todo o processo de divulgação e correção e minimizar os riscos a cada momento.
Revelamos informações suficientes sobre uma vulnerabilidade para permitir que nossos clientes avaliem e mitigem com precisão os riscos sem divulgar desnecessariamente informações confidenciais que possam empoderar um adversário. Nunca divulgamos conscientemente as vulnerabilidades de uma maneira a favorecer um possível invasor, e sempre forneceremos uma divulgação aos clientes antes de qualquer outra divulgação.
A equipe de resposta a incidentes de segurança dos produtos (PSIRT) da SEL avalia todos os relatórios de um problema de segurança nos produtos SEL, se esses relatórios vêm do SEL em função de nossos processos de melhoria contínua ou de uma fonte externa. A PSIRT, com suporte da liderança executiva, considera vários fatores para avaliar o risco que uma vulnerabilidade representa e calibrar a urgência e os recursos dedicados à remediação, incluindo:
As vulnerabilidades são divulgadas aos clientes de duas maneiras:
A SEL responde imediatamente a qualquer vulnerabilidade significativa que afeta um produto SEL que provavelmente será explorado ativamente. Forneceremos rapidamente orientações de mitigação, seguidas de quaisquer correções ou atualizações necessárias.