Esta política esboza directrices claras sobre el proceso de colaboración entre Socomec y cualquier otra persona física o jurídica, incluidos los investigadores de seguridad, que pueda informar de una vulnerabilidad encontrada en los productos de Socomec.

Esta política describe el canal de comunicación puesto a disposición para informar de vulnerabilidades, nuestro procedimiento para gestionar los informes recibidos (incluidos nuestros tiempos de procesamiento durante los cuales se pide al investigador que no revele la vulnerabilidad a terceros) y todas las etapas de colaboración desde el contacto inicial hasta la implementación del parche.

Socomec valora esta colaboración y hace todo lo posible para gestionar los informes recibidos de forma eficiente y oportuna. Animamos a todos y cada uno a que, en primer lugar, se pongan en contacto con nosotros y nos informen de posibles vulnerabilidades en nuestros productos, lo que nos permitirá proporcionar medidas correctivas que sirvan a la seguridad de nuestros usuarios y del público en general.

Socomec no ofrece recompensas por errores, pero nuestra Política de Divulgación de Vulnerabilidades (VDP) incluye un muro de la fama a través del cual comunicaremos abiertamente sobre su contribución en la identificación y corrección de las vulnerabilidades de nuestros productos, si así lo desea.

 

Ámbito

La Política de divulgación de vulnerabilidades se aplica a cualquier persona o entidad, especialmente a los investigadores de seguridad, y cubre todas las vulnerabilidades relacionadas con todos los productos, aplicaciones y servicios de Socomec, así como todos los sitios web de Socomec.

 

Directrices

Por favor, respete las siguientes directrices a la hora de informar sobre una vulnerabilidad.

Exponer vulnerabilidades de nuestros productos en el ámbito público puede tener graves consecuencias y perjudicar los intereses de Socomec. Nos reservamos todos los derechos para emprender acciones legales contra cualquier persona física y/o jurídica que inflija daños a Socomec pasando por alto y/o infringiendo las siguientes directrices.

Do

  • Notifique a Socomec lo antes posible tras descubrir un problema de seguridad real o potencial;
  • Describa la ubicación de la vulnerabilidad descubierta y su posible impacto;
  • Ofrezca una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto o las capturas de pantalla)
  • Escriba su informe en inglés;
  • Informe a Socomec lo antes posible.
  • Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos;
  • Utilice exploits sólo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer un acceso persistente a la línea de comandos o utilizar el exploit para pivotar a otros sistemas;
  • Acuerde no divulgar públicamente una vulnerabilidad notificada hasta que se haya publicado una solución o mitigación y haya recibido la aprobación de Socomec.
  •  
  • Sólo utilice exploits en la medida necesaria para confirmar la presencia de una vulnerabilidad.

Don't

  • Enviar un gran volumen de informes de baja calidad;
  • Exigir una compensación económica a cambio de sus informes;
  • Planificar pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que perjudiquen el acceso o dañen un sistema o datos;
  • Realizar una prueba física (por ejemplo, acceso a una oficina), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica.

Informe de una vulnerabilidad

La información enviada bajo esta política se utilizará únicamente con fines defensivos - para mitigar o corregir vulnerabilidades. Socomec no compartirá su identidad o información de contacto sin su permiso expreso.

Puede enviar sus informes de vulnerabilidad utilizando este formulario o a través de cyberalert@socomec.com. Los informes pueden enviarse de forma anónima. En su informe, especifique:

  • Una descripción de la vulnerabilidad;
  • El impacto potencial de la vulnerabilidad;
  • El producto y su versión afectados;
  • Los detalles CVSS: vector de ataque, complejidad del ataque, privilegios requeridos, interacción del usuario, alcance y el impacto en la confidencialidad, integridad y disponibilidad.

 

Qué puede esperar de Socomec

Una vez enviado el informe:

  • Le notificaremos que hemos recibido el informe en un plazo de 72 horas desde su recepción;
  • Realizaremos la calificación de la vulnerabilidad en un plazo de 30 días desde la fecha de recepción del informe. En caso de dificultades específicas que nos impidan cumplir este plazo, comunicaremos sin demora un nuevo plazo razonable y proporcionado para completar esta calificación;
  • Repararemos la vulnerabilidad y publicaremos la corrección de la vulnerabilidad crítica e importante en un plazo de 60 días a partir de la fecha de calificación. En caso de dificultades específicas que nos impidan cumplir este plazo, comunicaremos sin demora un nuevo plazo razonable y proporcionado para completar esta cualificación.

 

Preguntas

Las preguntas relativas a esta política pueden enviarse a cyberalert@socomec.com. También le invitamos a ponerse en contacto con Socomec si tiene sugerencias para mejorar esta política.

Comunicar un incidente / vulnerabilidad
Contáctenos para comunicar un incidente o vulnerabilidad en uno de nuestros productos.
Comunicar un vulnerabilidad
Ciberseguridad y protección de datos
La seguridad de sus datos ocupa un lugar central en todo lo que hacemos. Descubra cómo le proporcionamo conexiones seguras y de confianza mediante nuestra política de ciberseguridad.
Nuestros compromisos en materia de ciberseguridad