Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Política de divulgación de vulnerabilidades
Versión 1
25 de octubre de 2021
1. POLÍTICA DE DIVULGACIÓN RESPONSABLE DE VULNERABILIDADES
Zigor, empresa especializada en desarrollar soluciones robustas, flexibles y eficientes, tiene la seguridad, la privacidad y la integridad de nuestros productos y servicios como una prioridad y algo que nos tomamos muy en serio.
Estamos comprometidos en asegurar que nuestros productos son seguros para nuestros clientes. Reconociendo la importancia de la ciberseguridad en los productos y soluciones, estamos dados de alta como CNA bajo el ámbito de INCIBE, por lo que estamos autorizados para asignar identificadores CVE (CVE IDs) a vulnerabilidades que afecten a nuestros productos.
2. NOTIFICAR UNA VULNERABILIDAD DE SEGURIDAD O PRIVACIDAD
Para notificar una presunta vulnerabilidad de seguridad o privacidad, debe enviar un correo electrónico a cna@zigor.com, incluyendo como mínimo la siguiente información:
- Código y número de serie del producto y el software que cree que está afectado.
- Una descripción del comportamiento que ha observado y del comportamiento que esperaba.
- Una lista numerada de los pasos necesarios para reproducir el problema y, si son difíciles de seguir, una demostración en vídeo.
- Impacto potencial.
3. ACUSE DE RECIBO
A la recepción de su email, procederemos a darle respuesta para confirmar su recepción.
4. IDENTIFICAR VULNERABILIDADES Y ASIGNAR CVE ID:
- Dividiremos el informe en problemas solucionables de forma independiente.
- Determinaremos si esos problemas son vulnerabilidades.
- Si lo son, y si las vulnerabilidades están en nuestro ámbito, procederemos a registrar las asignaciones de ID.
5. COMUNICAR AL INFORMANTE LAS ASIGNACIONES
Se informará de los IDs asignados y dónde se puede hacer seguimiento de estos.
6. CUMPLIMIENTO LEGAL EN LA BÚSQUEDA DE VULNERABILIDADES
Tenga en cuenta el respeto a la ley. La exploración y búsqueda de vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo. Por ello, en la búsqueda de vulnerabilidades no se permite llevar a cabo las siguientes acciones:
- Cualquier tipo de ataque físico.
- Usar ingeniería social.
- Poner en peligro el sistema y mantener el acceso al mismo de forma persistente.
- Utilizar la vulnerabilidad para cualquier acción que no sea demostrar su existencia haciendo uso de métodos no agresivos.
- Modificar datos a los que se acceda explotando la vulnerabilidad.
- Usar malware.
- Usar ataques de fuerza bruta.
- Pruebas de denegación de servicio (DoS o DDoS).
- Compartir vulnerabilidad con terceros.
- Acceder a áreas no públicas. Se debe parar inmediatamente la actividad y notificar la vulnerabilidad.
- Afectar a la disponibilidad de los servicios y al buen funcionamiento del equipo. Se debe parar inmediatamente la actividad y notificar la vulnerabilidad.
Mantenga de forma confidencial la información sobre cualquier vulnerabilidad que haya descubierto entre usted y Zigor hasta que resolvamos el problema.
Zigor se reserva el derecho de modificar esta política en cualquier momento, a su entera discreción.