Política de Divulgación de Vulnerabilidades en Productos de Ciberseguridad

Política de divulgación de vulnerabilidades


1. Propósito
Esta política establece un enfoque estructurado para identificar, evaluar, mitigar y divulgar vulnerabilidades de ciberseguridad en nuestros productos. El objetivo es proteger a nuestros clientes y partes interesadas mediante una gestión oportuna y eficaz de los riesgos potenciales de seguridad.

2. Alcance
Esta política se aplica a todos los productos estándar desarrollados, fabricados o distribuidos por ATOP, incluyendo hardware, firmware y software. Los productos personalizados o no estándar pueden estar sujetos a acuerdos o políticas separadas.

3. Definiciones

  • Vulnerabilidad: Debilidad en un producto que puede ser explotada para comprometer su seguridad.
  • PSIRT: Equipo de Respuesta a Incidentes de Seguridad de Productos, responsable de gestionar incidentes y vulnerabilidades de seguridad.
  • CVSS: Sistema de Puntuación de Vulnerabilidades Común, utilizado para evaluar la gravedad de las vulnerabilidades.

4. Roles y Responsabilidades

  • PSIRT: Lidera el proceso de gestión de vulnerabilidades, incluyendo evaluación, coordinación y comunicación.
  • Equipos de Desarrollo de Producto: Colaboran con el PSIRT para investigar y remediar vulnerabilidades.
  • Aseguramiento de Calidad: Valida la efectividad de las medidas correctivas.
  • Soporte al Cliente: Comunica a los clientes sobre vulnerabilidades y medidas de mitigación disponibles.

5. Reporte de Vulnerabilidades

Recomendamos la divulgación responsable de posibles vulnerabilidades. Los informes pueden enviarse a través del “Informar vulnerabilidad” o por correo electrónico a PSIRT@atop.com.tw. Al informar sobre una posible vulnerabilidad, incluya la mayor cantidad posible de la siguiente información para ayudarnos a comprender mejor la naturaleza del problema y su posible impacto.

  • Nombre y modelo del producto
  • Versión de SW/FW
  • Descripción de la vulnerabilidad
  • Pasos para reproducir (incluya capturas de pantalla o código si es posible)
  • ID de Enumeración de Debilidades Comunes (CWE) (si se conoce)
  • ID de Vulnerabilidades y Exposiciones Comunes (CVE) (si se conoce)
  • Puntuación CVSS (si se conoce)
  • Cadena de vector CVSS (si se conoce)
  • Código de prueba de concepto o de explotación
  • Cómo un atacante podría explotar esta vulnerabilidad
  • Capturas de paquetes del proceso de ataque
  • Cualquier información adicional que desee proporcionar

6. Proceso de Gestión de Vulnerabilidades

6.1. Confirmación
Tras recibir un informe de vulnerabilidad, el Equipo de Respuesta a Incidentes de ATOP (PSIRT) emitirá un acuse de recibo inicial en un plazo de dos (2) días hábiles e iniciará una evaluación preliminar para determinar los siguientes pasos.

6.2. Clasificación y Evaluación
Cada problema reportado se revisa exhaustivamente para verificar su legitimidad y determinar su posible impacto, explotabilidad y alcance. La gravedad se evalúa mediante el Sistema Común de Puntuación de Vulnerabilidades (CVSS), con un análisis de riesgos complementario basado en modelos internos.

6.3. Investigación
El PSIRT colabora estrechamente con los equipos de ingeniería y desarrollo de productos para investigar la causa raíz, confirmar qué versiones del producto están afectadas y evaluar si el problema se extiende más allá del alcance reportado inicialmente.

6.4. Acción Correctiva y Mitigación
Dependiendo de la gravedad, se formulan estrategias de remediación adecuadas. Estas pueden incluir parches de software o firmware, ajustes de configuración o medidas de mitigación temporales. En situaciones urgentes o de alto impacto, se pueden emitir directrices provisionales antes de una resolución completa.

6.5. Divulgación
Una vez que se disponga de una solución o se considere necesaria, se publicará un Aviso de Ciberseguridad de Productos. Estos avisos describen la naturaleza de las vulnerabilidades, los productos y versiones afectados, la clasificación de gravedad basada en CVSS y las acciones recomendadas para que los clientes mitiguen los riesgos asociados.

7. Clasificación de Severidad (CVSS)

8. Comunicación
Las advertencias de seguridad se proporcionan por los siguientes canales:

  • Vulnerabilidades críticas: notificación directa por correo electrónico.
  • Documentación del producto: notas de versión o manuales actualizados.
  • Sitio web oficial: listados de advertencias de seguridad.
  • Resumen mensual por correo electrónico para usuarios registrados.

Para recibir estas actualizaciones, los clientes pueden registrarse en el sitio web de ATOP utilizando una dirección de correo electrónico empresarial aprobada.

9. Revisión de la Política
Esta política será revisada anualmente o cuando se produzcan cambios importantes, para garantizar su efectividad y alineación con los estándares del sector.

10. Descargo de Responsabilidad
Esta política y los procedimientos relacionados pueden actualizarse en cualquier momento sin previo aviso. No garantizamos que todos los problemas reportados sean abordados o divulgados. El uso de la información contenida en este documento o en sus recomendaciones relacionadas será bajo el propio riesgo del usuario.

 



Reload
I have read and agree to the Privacy Policy (art.13 and 14 of the GDPR - EU Regulation 2016/679).