日立數據系統的資安通報

Hitachi Vantara 漏洞揭露政策

1. 政策介紹及政策目的

本政策的目的是建立所有 Hitachi Vantara 客戶及外部利益關係人應遵循的方法，以報告任何潛在的弱點與威脅。

本政策的目標在於持續處理潛在弱點和威脅，以降低可能影響 Hitachi Vantara 營運、基礎設施及服務的潛在風險，進而確保 Hitachi Vantara 的客戶信任。

2. 範圍

本政策適用於所有部門及地區，除非本檔案另有說明，且適用對象為與 Hitachi Vantara 有業務往來之客戶及協力廠商有直接或間接關係的所有員工。

以下情況不適用本政策：

• 當 Hitachi Vantara 客戶或協力廠商請求有效合約延長期以外的作業時。

3. 報告潛在漏洞和威脅的流程

3.1. 任何 Hitachi Vantara 客戶或協力廠商都可能提交報告，通知潛在的弱點或威脅。提交的報告應包含以下資訊，但不限於：

• 受影響的 Hitachi Vantara 產品或解決方案的詳細資料
• Hitachi Vantara 元件的軟體和/或微程式碼版本
• 已識別漏洞或威脅的詳細描述，以及
• 其他相關資訊，例如證據或概念證明、已公佈已辨識的弱點，以及已承諾進行協調揭露的個別報告。

3.2. 報告任何潛在漏洞或威脅的聯絡資訊：

• 當發現 Hitachi Vantara 產品中的潛在安全漏洞時，我們鼓勵客戶或協力廠商聯絡 Hitachi Vantara 的全球支援中心 (GSC) 報告該漏洞。
• GSC 團隊將與 Hitachi Vantara 的網路安全團隊合作，根據客戶合約要求和 GSC 標準作業程序調查此問題。
• Hitachi Vantara 建議使用加密程序來安全地傳輸任何機密和個人資料。
• 雖然 Hitachi Vantara 將審查透過 GSC 提交的報告，但現有客戶安裝中由於其單獨設計、第三方元件或受損的存取憑證而導致的漏洞不被視為 Hitachi Vantara 產品中的漏洞。
• 對於與 Hitachi Vantara 沒有客戶關係的所有實體，您可以在此處向網路安全團隊報告安全漏洞。 ( security.vulnerability@hitachivantara.com )

3.3. 在提出報告的客戶或協力廠商同意下，Hitachi Vantara 必須認可發現弱點的客戶或協力廠商，這是官方 Hitachi Vantara 程序的一部分。Hitachi Vantara 沒有提供漏洞獎金計畫。因此，Hitachi Vantara 確實會透過漏洞 (CVE - Common Enumeration of Vulnerabilities) 出版物（適用時）或確認函來確認漏洞研究人員的貢獻。

3.4. Hitachi Vantara 的產品漏洞處理一般包括以下：

• 緊急第一反應，
• 初步分診，
• 調查和規劃，
• 補救措施，以及
• 揭露和通知。

雖然 Hitachi Vantara 竭盡全力及時修復對 Hitachi Vantara、其客戶及協力廠商構成高風險的漏洞，但修復時間可能會因弱點的複雜性或威脅狀況而異。假設報告的資訊不為公開知曉，客戶或協力廠商便有意報告漏洞，Hitachi Vantara 在補救之前不會發佈任何相關資訊。

4. 免責聲明

此處所含資訊得隨時變更，恕不另行通知。本政策中的宣告不會修改、取代或以其他方式修改 Hitachi Vantara LLC 與任何其他當事人之間的任何客戶權利、義務或條款。使用此原則所包含的資訊或連結時，請自行承擔風險。