Dell se esfuerza en ayudar a los clientes a minimizar los riesgos asociados a las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es proporcionar a los clientes información oportuna, orientación y opciones de mitigación para hacer frente a las vulnerabilidades. El equipo de respuesta ante incidentes de seguridad en productos de Dell (Dell PSIRT) es responsable de coordinar la respuesta y la divulgación de todas las vulnerabilidades de producto que afectan a los productos Dell.
Dell participa activamente en diversas iniciativas de la comunidad (en inglés), entre ellas, el Foro de Equipos de Respuesta y Respuesta a Incidentes (FIRST)(en inglés) y el Foro de Garantía de Software para la Excelencia en el Código (SAFECode)(en inglés). Nuestros procesos y procedimientos se ajustan a la infraestructura de servicios FIRST PSIRT (en inglés), así como a otras normas, como la ISO/IEC 29147:2018 (en inglés)y la ISO/IEC 30111:2019 (en inglés).
Dell valora a los socios del sector e investigadores de seguridad, aprecia todas las contribuciones a nuestras iniciativas de seguridad y anima a la divulgación responsable y coordinada, ya que la seguridad de nuestros clientes es la prioridad primordial. Nuestro objetivo es garantizar que los recursos y las estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Dell y trabajar con proveedores externos cuando la corrección requiera de su colaboración.
De acuerdo con esta política, toda la información divulgada acerca de nuevas vulnerabilidades se considerará confidencial y solo se compartirá entre Dell y la parte que la notifica (si la información no es ya de conocimiento público) hasta que haya una solución disponible y se hayan coordinado las actividades de divulgación.
Después de investigar y validar una vulnerabilidad notificada, intentaremos desarrollar y cualificar la corrección adecuada para los productos que estén bajo soporte activo de Dell. Las correcciones toman una o más de las siguientes formas:
Dell hace todo lo posible para proporcionar el remedio o la acción correctiva en el menor tiempo comercialmente razonable. Los plazos de respuesta dependen de muchos factores, entre los que se incluyen los siguientes:
Dell utiliza la versión 3.1 del estándar Common Vulnerability Scoring System (en inglés)(CVSS v3.1) para comunicar las características de las vulnerabilidades que se detectan en los productos Dell. FIRST es la organización encargada del mantenimiento del estándar.
El indicador de CVSS proporciona un método numérico para cuantificar la gravedad de la vulnerabilidad y considera varios factores, entre los que se incluyen el nivel de esfuerzo necesario para aprovechar una vulnerabilidad o el posible impacto que podría darse en el caso de que esta se aproveche. Dell resume el impacto evaluado de una vulnerabilidad mediante un indicador numérico, una cadena de vectores y una representación cualitativa de la gravedad (es decir, por medio de valores de gravedad crítica, alta, media o baja), de acuerdo con la escala que se proporciona a continuación:
Gravedad | Indicador de CVSS v3.1 |
Crítica | De 9,0 a 10 |
Alta | De 7,0 a 8,9 |
Media | De 4,0 a 6,9 |
Baja | De 0,1 a 3,9 |
Tenga en cuenta que es habitual que la evaluación de una vulnerabilidad por parte de Dell, el indicador de CVSS o la cadena de vectores difieran de las proporcionadas por otras fuentes. En caso de discrepancia, Dell utilizará la información recogida en las asesorías de seguridad de Dell como fuente de información con más autoridad.
Dell publica asesorías de seguridad, avisos y artículos de información para informar a los clientes de las vulnerabilidades de seguridad que afectan a nuestros productos.
Las asesorías de seguridad se publican con el fin de proporcionar orientación o instrucciones para que los clientes pueden protegerse, mitigar o corregir las vulnerabilidades una vez que Dell haya analizado e identificado las soluciones.
Las asesorías de seguridad tienen como fin proporcionar los detalles suficientes para que los clientes evalúen el impacto de las vulnerabilidades y corrijan los productos potencialmente afectados. No obstante, los detalles completos pueden limitarse a reducir la probabilidad de que los agentes maliciosos puedan aprovechar la información y explotarla en detrimento de nuestros clientes.
Las asesorías de seguridad de Dell incluirán la siguiente información cuando sea aplicable:
Dell podría publicar un aviso de seguridad caso por caso para reconocer una vulnerabilidad de seguridad conocida públicamente y proporcionar una declaración u otra orientación con respecto a cuándo (o dónde) habrá información adicional disponible.
Dell puede publicar artículos informativos sobre seguridad para compartir información sobre temas relacionados, como los siguientes:
Los avisos y las asesorías de seguridad de Dell están disponibles en www.dell.com/support/security (en inglés). Los artículos informativos están disponibles en este enlace en el momento que se autentican.
Si identifica una vulnerabilidad de seguridad en cualquier producto Dell, le rogamos que la notifique lo antes posible. La dentificación temprana de vulnerabilidades de seguridad y la elaboración de informes relacionados con estas son fundamentales para mitigar los riesgos potenciales para nuestros clientes. Los investigadores de seguridad deben enviar informes de vulnerabilidad de productos a través del sitio de Dell Bugcrowd (en inglés). Los clientes y socios de productos comerciales y para empresas deben ponerse en contacto con el equipo de asistencia técnica correspondiente para informar de cualquier problema seguridad detectado en un producto Dell. El equipo de asistencia técnica, el equipo del producto correspondiente y Dell PSIRT trabajarán juntos para abordar el problema comunicado y proporcionar a los clientes los pasos que han de seguir.
Los grupos del sector, los proveedores y otros usuarios que no tengan acceso a la asistencia técnica o que no quieran pasar por el programa de recompensas por descubrimiento de errores pueden enviar informes de vulnerabilidad directamente a Dell PSIRT por correo electrónico. Los mensajes de correo electrónico y los archivos adjuntos deberían cifrarse al transmitir información confidencial mediante PGP y con una clave PGP de DELL PSIRT, que se puede descargar aquí (en inglés). Dell reconocerá el informe de divulgación de la vulnerabilidad en cuanto las circunstancias lo permitan.
En todos los casos, Dell intentará confirmar la recepción del informe de divulgación de vulnerabilidades en un plazo de tres (3) días laborables y proporcionar novedades sobre la corrección con una frecuencia de treinta (30) días naturales o menos.
Al informar de una posible vulnerabilidad, le rogamos que incluya la mayor parte de la información posible que se indica a continuación para ayudarnos a comprender mejor la naturaleza y el alcance del problema notificado:
Si una vulnerabilidad le proporciona acceso a información confidencial o privada (incluidos datos de terceros, personales o marcados por Dell como de uso interno, restringidos o muy restringidos), solo puede acceder a información de este tipo lo mínimo imprescindible para informar a Dell de la vulnerabilidad. Le recordamos que no puede almacenar, transferir, utilizar, retener, divulgar o copiar esta información salvo para entregarla a Dell.
Asimismo, no puede participar en acciones que afecten la integridad o la disponibilidad de los sistemas Dell, excepto si tiene el permiso explícito del propietario del sistema para hacerlo. Haga lo imprescindible para obtener una prueba de concepto. Si descubre una reducción de rendimiento durante la investigación o provoca una infracción o interrupción sin querer (por ejemplo, al acceder a los datos del cliente o las configuraciones de servicios), deje de utilizar cualquier herramienta automatizada e informe del incidente de inmediato. En cualquier momento, si tiene alguna duda sobre si su investigación sobre seguridad cumple con los requisitos de esta política, pregunte a secure@dell.com antes de seguir con la investigación.
Utilice los contactos adecuados que se indican a continuación para informar a Dell de otros tipos de problemas de seguridad.
Problema de seguridad | Información de contacto |
Para informar sobre una vulnerabilidad o problema de seguridad en Dell.com u otro servicio en línea, aplicación web o propiedad: | Envíe un informe a https://bugcrowd.com/dell-com (en inglés)con instrucciones paso a paso para reproducir el problema. |
Si sospecha de un robo de identidad o ha sufrido una transacción fraudulenta relacionada con Dell Financial Services. | Consulte la página de seguridad de Dell Financial Services Security (en inglés). |
Para enviar solicitudes o preguntas relacionadas con la seguridad: | Consulte la página de privacidad de Dell |
Dell se esfuerza por ofrecer la mayor transparencia posible y, por ello, transmite información sobre sus esfuerzos en la corrección de vulnerabilidades en las asesorías de seguridad y otros documentos relacionados, entre los que se incluyen las notas de la versión, los artículos de la Base de conocimientos y las preguntas frecuentes. Dell no comparte vulnerabilidades verificadas ni códigos de prueba de concepto para las vulnerabilidades identificadas. Además, de acuerdo con las prácticas recomendadas del sector, Dell no comparte con entidades externas los resultados de las pruebas, las pruebas de concepto obtenidas de pruebas de seguridad internas ni ningún otro tipo de información privilegiada.
Los derechos de los clientes de Dell con respecto a las garantías, la asistencia y el mantenimiento, incluidas las vulnerabilidades en cualquier producto de software de Dell, se rigen exclusivamente por el acuerdo aplicable entre Dell y cada cliente. Las declaraciones de esta página web no modifican, extienden o enmiendan los derechos del cliente ni añaden garantías adicionales.
Todos los aspectos detallados en esta política de respuesta ante vulnerabilidades se encuentran sujetos a cambios sin previo aviso. No se ofrece respuesta garantizada para problemas ni clases de problemas específicos. El uso de la información recogida en este documento o los materiales que en este se enlazan depende del usuario.