Política de divulgación de vulnerabilidades.

Política de divulgación de vulnerabilidades de Comelit.

Dado que la seguridad es de vital importancia para nosotros y para nuestros clientes, en Comelit nos comprometemos a garantizar la seguridad de nuestros productos y servicios. Comelit apoya la divulgación coordinada de vulnerabilidades y fomenta las pruebas de vulnerabilidad responsables, nos tomamos muy en serio cualquier informe sobre posibles vulnerabilidades de seguridad.
Para informar de una posible vulnerabilidad de seguridad, siga estos pasos.

 

Procedimiento de notificación

  • Envíe el informe de vulnerabilidad a security@comelitgroup.com.
  • Por favor, considere utilizar nuestra clave pública OpenPGP para encriptar cualquier envío de correo electrónico.
  • Escriba el informe de vulnerabilidad en inglés.
  • Proporcione suficiente información de contacto, como:
    1. su dirección de correo electrónico
    2. nombre de la persona que encontró la vulnerabilidad.
  • Proporcione información sobre la vulnerabilidad:
    1. fecha en la que se ha detectado la vulnerabilidad
    2. detalles sobre cómo se ha descubierto;
    3. .una descripción técnica de la vulnerabilidad.
  • Facilita toda la información que puedas sobre el producto o servicio afectado por la vulnerabilidad, como por ejemplo:
    1. número de versión (hardware y software);
    2. configuración del montaje utilizado.
  • Si has escrito una prueba de concepto específica o un código de explotación, facilita una copia. Por favor, asegúrese de que todo el código enviado está claramente marcado como tal, y posiblemente encriptado con nuestra clave PGP.
  • Si ha identificado amenazas específicas relacionadas con la vulnerabilidad, ha evaluado el riesgo o ha visto cómo se explota la vulnerabilidad, facilite esa información junto con las instrucciones para reproducir la vulnerabilidad.

 

Evaluación interna y acción

  1. Comelit acusará recibo de su Informe de Vulnerabilidad en un plazo de 5 días laborables
    • Si el Informe de Vulnerabilidad contiene toda la información requerida, Comelit se pondrá en contacto con usted y le proporcionará un número de seguimiento único;
    • Si el Informe de Vulnerabilidad no está completo (se necesita más información), Comelit le solicitará la información que falta. En caso de que el informador no responda en un plazo de 30 días, el informe se considerará automáticamente resuelto.
  2. Comelit iniciará un Proceso de Gestión de Vulnerabilidades interno para gestionar la vulnerabilidad reportada:
    • Identificación de la vulnerabilidad;
    • Triaje de vulnerabilidades;
    • Evaluación de la vulnerabilidad;
    • Tratamiento de la vulnerabilidad.
  3. Comelit supervisará el estado del proceso de gestión de vulnerabilidades y le mantendrá informado hasta la resolución del problema de seguridad.
  4. Comelit utilizará los procesos de notificación al cliente existentes para gestionar la publicación de parches o correcciones de seguridad, que pueden incluir, sin limitación y a discreción exclusiva de Comelit, la notificación directa al cliente o la publicación de una notificación de aviso en nuestro sitio web.
  5. Si la vulnerabilidad se encuentra realmente en un componente o servicio de un tercero que forma parte de nuestro producto/servicio, Comelit notificará el Informe de Vulnerabilidad a dicho tercero y le avisará de dicha notificación. A tal fin, le rogamos que nos informe en su correo electrónico si en tales casos está permitido facilitar sus datos de contacto al tercero.

 

Aviso

Si usted comparte cualquier información con Comelit en el contexto de la divulgación responsable, usted está de acuerdo en que la información que usted envíe será considerada como no propietaria y no confidencial.Comelit podrá utilizar la información compartida, o parte de ella, sin restricción alguna.Usted acepta que el envío de información no crea ningún derecho para usted ni ninguna obligación para Comelit.Los datos personales son procesados por Comelit en base a la Privacy Policy.

Utilice estos enlaces para acceder a software gratuito para leer y crear mensajes cifrados OpenPGP:
• GnuPG
• Gpg4win