Centro de seguridad
Última actualización: 1 de agosto de 2024
Bienvenido al Centro de Recursos de Seguridad de DESLOC. Este sitio seguro está diseñado para proporcionar un lugar donde reportar problemas de seguridad conocidos con los productos o tecnologías de DESLOC. Expertos con amplia experiencia en el sector identificarán, analizarán y responderán a las vulnerabilidades conocidas, además de ofrecerle medidas para ayudarle a gestionar los riesgos de seguridad.
Para acceder a información e instrucciones sobre cómo utilizar el Centro de recursos de seguridad DESLOC, revise la Política de divulgación y las Pautas de informes a continuación.
Política de divulgación
DESLOC cree que la divulgación de vulnerabilidades es esencial para mejorar la calidad de nuestros productos y servicios. DESLOC valora el conocimiento de la comunidad de investigación en seguridad y agradece la divulgación y la colaboración.
A través de nuestro proceso de divulgación responsable, DESLOC colaborará con investigadores de seguridad y otros investigadores de vulnerabilidades para aumentar la seguridad de nuestros productos y servicios, proporcionando un mecanismo para informar de forma privada sobre vulnerabilidades con legitimidad e integridad. La divulgación responsable garantiza que la infraestructura de seguridad se someta a pruebas y demuestre su fiabilidad. Este proceso nos permite colaborar con los investigadores para identificar y mitigar vulnerabilidades rápidamente en un entorno de seguridad en constante evolución.
La siguiente es la política de divulgación responsable de DESLOC:
DESLOC divulgará las vulnerabilidades conocidas y sus soluciones a sus clientes de forma que se proteja a los usuarios finales de nuestros productos. Las divulgaciones realizadas por DESLOC incluirán el reconocimiento de la persona que identificó la vulnerabilidad inicialmente, a menos que esta solicite lo contrario.
DESLOC está abierto a la comunicación y al trabajo con investigadores de seguridad que acuden a DESLOC con un interés compartido por mejorar la seguridad y coordinar la distribución de información, incluida tanto la vulnerabilidad como la solución que la aborda.
DESLOC no tiene un programa de recompensas ni un premio monetario para el investigador, sin embargo DESLOC proporcionará crédito y reconocerá públicamente en un aviso escrito, el trabajo de un investigador de seguridad que trae de manera privada a la empresa información válida sobre una vulnerabilidad y luego trabaja con DESLOC para coordinar el anuncio público después de que se haya desarrollado y probado una solución o parche.
A los investigadores de seguridad se les permite publicar un enlace al aviso de DESLOC en sus propios sitios web como reconocimiento por ayudar a minimizar los riesgos y ayudar a los usuarios finales a protegerse.
Solicitamos a la comunidad de investigadores de seguridad que colabore con DESLOC para coordinar la divulgación pública de una vulnerabilidad. Revelar públicamente una vulnerabilidad prematuramente sin notificar previamente a DESLOC podría perjudicar a los usuarios finales, exponiendo información confidencial y poniendo a personas y organizaciones en peligro de ataques maliciosos.
Para ello, DESLOC aboga firmemente por un proceso de dos pasos: primero, la divulgación privada de una posible vulnerabilidad a DESLOC. Una vez validada y resuelta la vulnerabilidad, DESLOC coordina la divulgación pública, que incluye el reconocimiento del descubrimiento del investigador de seguridad y la confirmación de que se atribuye el mérito a la(s) persona(s) correcta(s).
Solicitamos a los investigadores que tengan en cuenta que nuestras acciones para investigar, validar y remediar las vulnerabilidades reportadas varían según su complejidad y gravedad. Comunicaremos los plazos y cambios previstos y colaboraremos siempre que sea posible. Además, solicitamos a los investigadores que no utilicen herramientas de denegación de servicio ni comprometan la infraestructura ni la información personal de los usuarios de DESLOC durante las pruebas o evaluaciones. Si este tipo de pruebas es necesario, les solicitamos que se pongan en contacto con nosotros para que podamos proporcionar productos que se puedan probar en un entorno no productivo para dichos fines, siempre que sea razonablemente posible.
Al igual que otras empresas líderes, DESLOC aplica las mejores prácticas de la industria para la divulgación coordinada de vulnerabilidades para proteger el ecosistema de seguridad, garantizando que los clientes obtengan información de la más alta calidad e impulsando el discurso público sobre formas de mejorar productos, protocolos, metodologías, estándares y soluciones.
Como parte de su programa de divulgación responsable, DESLOC busca establecer vínculos con investigadores de seguridad que adopten un enfoque coordinado y de responsabilidad compartida para la divulgación pública de vulnerabilidades. DESLOC invita a investigadores de seguridad y a otros investigadores de vulnerabilidades a unirse a esta iniciativa.
Directrices para la presentación de informes
Pasos para reportar una vulnerabilidad.
Por favor, informe cualquier vulnerabilidad de seguridad, ya sea real o potencial, al Equipo de Recursos de Seguridad de DESLOC por correo electrónico a support@desloc.com. Por favor, cifre su correo electrónico con PGP y esta clave pública.
Incluya la siguiente información en su informe por correo electrónico:
Nombre y apellido
Nombre de empresa
Número de teléfono de contacto (opcional)
Contacto de correo electrónico preferido
Descripción general de la vulnerabilidad
Producto que contiene vulnerabilidad (versiones de hardware y software), números de pieza
Herramientas, hardware y otras configuraciones necesarias para activar el evento
Cualquier actualización de seguridad o paquete de servicio aplicada
Instrucciones del documento para reproducir el evento
Código de muestra, prueba de concepto o ejecutable utilizado para producir el evento
Definición de cómo la vulnerabilidad afectará a un usuario, incluido cómo el atacante podría violar la seguridad en el sitio
Producto afectado
Detalles del sistema
Descripción técnica y pasos para reproducir
Prueba de concepto (proporcionar enlace)
Otras partes y productos involucrados
Planes de divulgación/Fechas/Impulsores
¿Cuál era el propósito y el alcance de la investigación que se estaba realizando cuando se encontró (contexto)?