Informar de una vulnerabilidad de seguridad
El Equipo de Respuesta ante Incidentes de Seguridad de Productos (PSIRT) de Dewesoft agradece las notificaciones de usuarios e investigadores. Si crees que has detectado una vulnerabilidad en un sitio web o producto de Dewesoft, o un problema relacionado con la protección de datos, elige el canal adecuado a continuación y envíanos los detalles.
ACERCA DE ESTA PÁGINA
Cómo informar de una vulnerabilidad de seguridad
El PSIRT de Dewesoft fomenta la notificación responsable de vulnerabilidades de seguridad. La notificación coordinada nos ayuda a solucionar los problemas con mayor rapidez, a mantener informados a los clientes y a mejorar continuamente la seguridad de nuestro software, nuestros instrumentos y nuestros servicios en línea.
Lee la siguiente lista de canales y elige el que se ajuste a tu hallazgo. Cada informe es revisado por el PSIRT y se trata de forma confidencial.
¿No es un problema de seguridad? El PSIRT no se encarga de las consultas generales sobre calidad, garantía, licencias o asistencia técnica. Utiliza el procedimiento estándar Canales de asistencia y contacto de Dewesoft En su lugar, para que tu solicitud llegue al equipo adecuado sin demora.
TRES CANALES DE COMUNICACIÓN
Dónde enviar tu informe
CANAL 01 · WEB
Vulnerabilidades de seguridad en sitios web
En caso de vulnerabilidades o incidentes que afecten a un sitio web o servicio en línea de Dewesoft —por ejemplo, dewesoft.com, los portales de asistencia técnica, para desarrolladores, el foro o la tienda—.
Entre los hallazgos más habituales se incluyen el «cross-site scripting», las inyecciones, las vulnerabilidades de autenticación o de control de acceso, las configuraciones inseguras o la exposición de datos confidenciales.
CANAL 02 · PRODUCTO
Vulnerabilidades de seguridad de los productos
En caso de vulnerabilidades o incidentes relacionados con un producto de Dewesoft, incluidos el software DewesoftX y DewesoftM, el firmware, las API y los SDK, así como el hardware de adquisición de datos, como SIRIUS, KRYPTON, IOLITE, OBSIDIAN y dispositivos relacionados.
Indíquenos el producto exacto, el modelo y la versión de software o firmware afectados.
CANAL 03 · DATOS
Cuestiones relacionadas con la protección de datos
En caso de dudas relacionadas con la protección de datos y la privacidad —por ejemplo, si se sospecha de una filtración de datos personales, una divulgación de información personal o si tienes alguna pregunta sobre cómo gestiona Dewesoft tus datos—.
También puede utilizar este canal para presentar solicitudes en nombre de los interesados, de conformidad con la legislación vigente en materia de protección de datos.
HAZ QUE TU INFORME SEA PRÁCTICO
Qué información hay que incluir
En el caso de vulnerabilidades en la página web o en los productos, cuantos más detalles nos facilites, más rápido podremos reproducir y resolver el problema. Siempre que sea posible, incluye:
01
Objetivo afectado
El producto, el modelo y la versión del software o del firmware, o bien la URL exacta de una vulnerabilidad en un sitio web.
02
Descripción y justificación
Una descripción clara de la vulnerabilidad, con los pasos para reproducirla, una prueba de concepto, código de explotación o registros de red, si se dispone de ellos.
03
Referencias públicas
Cualquier referencia relacionada, así como si el asunto ya se ha hecho público y quién lo ha hecho público.
¿Vas a enviar archivos grandes? Si necesitas compartir una gran cantidad de datos, indícalo en tu correo electrónico y acordaremos contigo un método de transferencia seguro.
DIVULGACIÓN RESPONSABLE
Trabajar juntos de buena fe
Pedimos a los investigadores que sigan estos principios para que podamos investigar y solucionar los problemas sin poner en riesgo a los usuarios ni a los sistemas.
✓ Por favor, hazlo
Informa de lo que descubras lo antes posible tras el hallazgo.
Concedan un plazo razonable para que podamos investigar y solucionar el problema antes de cualquier divulgación pública.
Proporciona suficientes detalles para que podamos reproducir el problema.
Actúa de buena fe y evita las violaciones de la privacidad o la interrupción del servicio.
✕ Por favor, evita
Acceder, modificar o eliminar datos que no te pertenecen.
Reducción de la disponibilidad del servicio, por ejemplo, pruebas de denegación de servicio.
Ingeniería social, phishing o ataques físicos contra el personal o las instalaciones.
Dar a conocer públicamente el problema antes de haberlo resuelto.
Información importante
01 Informes presentados en Inglés para que podamos tramitarlo lo antes posible. Por favor, describe el problema con la mayor claridad posible.
02 Vulnerabilidades y problemas publicados anteriormente y clasificados como informativo puede que no cumpla los requisitos para ser reconocido.
03 Agradecemos a los investigadores que nos ayudan a mejorar la seguridad. Indícanos en tu informe si deseas que se te mencione y de qué forma.
04 Recomendamos encarecidamente correo electrónico cifrado en el caso de datos confidenciales. Ponte en contacto con el PSIRT para solicitar nuestra clave pública de cifrado actual antes de realizar el envío.