En Dell, nos esforzamos por ayudar a nuestros clientes a minimizar el riesgo asociado a las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es ofrecer a los clientes información oportuna, orientación y opciones de mitigación para abordar las vulnerabilidades. El Equipo de respuesta a incidentes de seguridad de productos Dell (Dell PSIRT) es responsable de coordinar la respuesta y la divulgación de todas las vulnerabilidades de los productos que afectan a los productos de Dell.
Dell participa activamente en varios esfuerzos de la comunidad(en inglés), como el Foro de equipos de respuesta ante incidentes y respuesta (FIRST)(en inglés) y el Foro de garantía de software para la excelencia en el código (SAFECode)(en inglés). Nuestros procesos y procedimientos se alinean con la Infraestructura de servicios FIRST PSIRT(en inglés), así como con otros estándares, incluidos ISO/IEC 29147:2018(en inglés) e ISO/IEC 30111:2019(en inglés).
En Dell, valoramos a nuestros partners de la industria y a los investigadores de seguridad, agradecemos todas las colaboraciones a nuestras iniciativas de seguridad y fomentamos la divulgación responsable y coordinada, ya que la seguridad de nuestros clientes es una preocupación primordial. Nuestro objetivo es garantizar que los remedios o las estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Dell; y trabajar con proveedores externos cuando la corrección requiera su colaboración.
Según esta política, toda la información divulgada sobre nuevas vulnerabilidades se considera confidencial y solo se compartirá entre Dell y la parte que informa si la información aún no es de conocimiento público hasta que haya un recurso disponible y se coordinen las actividades de divulgación.
Luego de investigar y validar una vulnerabilidad informada, nos esforzamos por desarrollar y calificar un recurso adecuado para los productos bajo soporte activo de Dell. Un recurso puede adoptar una o varias de las siguientes formas:
Dell hace todo lo posible para proporcionar el recurso o la acción correctiva en el menor tiempo que sea razonable desde el punto de vista comercial. Las líneas de tiempo de la respuesta dependen de muchos factores, como:
Dell utiliza el estándar Common Vulnerability Score System(en inglés), versión 3.1 (CVSS v3.1), para comunicar las características de las vulnerabilidades en los productos Dell. El estándar lo mantiene FIRST.
El puntaje de CVSS proporciona un medio numérico para cuantificar la gravedad de la vulnerabilidad y tiene en cuenta varios factores, como el nivel de esfuerzo necesario para explotar una vulnerabilidad, así como el impacto potencial en caso de que se explote esa vulnerabilidad. Dell resumirá el impacto evaluado de una vulnerabilidad a través de un puntaje numérico, una cadena vectorial y una representación cualitativa de la gravedad (es decir, crítica, alta, media, baja), según la escala que se proporciona a continuación:
Gravedad | Puntaje de CVSS versión 3.1 |
Críticos | De 9,0 a 10 |
Alta | de 7,0 a 8,9 |
Media | de 4,0 a 6,9 |
Baja | de 0,1 a 3,9 |
Tenga en cuenta que no es raro que la evaluación de Dell de una vulnerabilidad, el puntaje de CVSS o la cadena vectorial difieran de los proporcionados por otras fuentes. En caso de discrepancia, Dell utilizará la información que se encuentra en las asesorías de seguridad de Dell como fuente autorizada de información.
Dell publica asesorías de seguridad, avisos y artículos de información para comunicarse con los clientes acerca de las vulnerabilidades de seguridad que afectan a nuestros productos.
Los avisos de seguridad se publican para proporcionar orientación o instrucciones sobre cómo los clientes pueden protegerse, mitigar o corregir vulnerabilidades una vez que Dell haya analizado e identificado las soluciones.
Los avisos de seguridad tienen por objeto proporcionar detalles suficientes para evaluar el impacto de las vulnerabilidades y remediar los productos potencialmente afectados. Sin embargo, los detalles completos pueden limitarse para reducir la probabilidad de que usuarios maliciosos se aprovechen de la información y la exploten en perjuicio de nuestros clientes.
Por lo general, los avisos de seguridad de Dell incluyen la siguiente información, según corresponda:
En cada caso, Dell puede publicar un aviso de seguridad para reconocer una vulnerabilidad de seguridad conocida públicamente y proporcionar una declaración u otra orientación sobre cuándo (o dónde) estará disponible la información adicional.
Dell puede publicar artículos informativos relacionados con la seguridad para compartir información sobre temas relacionados con la seguridad, como:
Notificaciones y avisos de seguridad de Dell disponibles en www.dell.com/support/security(en inglés). Los artículos informativos están disponibles en este enlace una vez autenticados.
Si identifica una vulnerabilidad de seguridad en cualquier producto Dell, le pedimos que nos lo informe lo antes posible. La identificación oportuna y el informe de las vulnerabilidades de seguridad es fundamental para mitigar los posibles riesgos para nuestros clientes. Los investigadores de seguridad deben enviar informes de vulnerabilidad del producto a través del sitio Bugcrowd de Dell(en inglés). Los clientes y partners de productos empresariales y comerciales deben ponerse en contacto con el equipo de soporte técnico respectivo para informar cualquier problema de seguridad detectado en los productos Dell. El equipo de soporte técnico, el equipo de producto adecuado y Dell PSIRT trabajarán en conjunto para ocuparse del problema informado e indicar los pasos que deben seguir los clientes.
Los grupos de la industria, los proveedores y otros usuarios que no tienen acceso al soporte técnico o que no desean pasar por el programa de recompensa por error pueden enviar informes de vulnerabilidades directamente al PSIRT de Dell por correo electrónico. Los mensajes de correo electrónico y los archivos adjuntos se deben cifrar si tienen información confidencial mediante PGP y una clave PGP de Dell PSIRT, que está disponible para descargar aquí. Dell reconocerá su informe de divulgación de vulnerabilidades tan pronto como las circunstancias lo permitan.
En todos los casos, Dell se esforzará por confirmar su informe de divulgación de vulnerabilidades en un plazo de tres (3) días laborables a partir de la recepción y proporcionará actualizaciones sobre la corrección con una frecuencia de treinta (30) días calendario o menos.
Al informar una posible vulnerabilidad, le pedimos que incluya la mayor cantidad de la información que se indica a continuación para ayudarnos a comprender mejor la naturaleza y el alcance del problema informado:
Si una vulnerabilidad le proporciona acceso a información confidencial o no pública (incluidos datos de terceros, datos personales o cualquier información marcada por Dell como uso interno, restringido o altamente restringido), solo debe acceder a dicha información como mínimamente necesaria para informar la vulnerabilidad a Dell. Además del envío a Dell, no debe almacenar, transferir, usar, conservar, divulgar ni copiar ninguna información de este tipo.
Tampoco debe participar en ninguna acción que afecte la integridad o la disponibilidad de los sistemas Dell, a menos que tenga el permiso explícito del propietario. Solo haga lo mínimo indispensable para obtener una prueba de concepto. Si observa una degradación del rendimiento durante la investigación o causa involuntariamente una infracción o interrupción (como el acceso a los datos del cliente o las configuraciones de servicio), detenga cualquier uso de herramientas automatizadas e informe el incidente de inmediato. Si, en cualquier momento, tiene inquietudes o no está seguro de si su investigación de seguridad es coherente con esta política, envíe su consulta a secure@dell.com antes de continuar.
Utilice los contactos correspondientes que se indican a continuación para informar otros tipos de problemas de seguridad a Dell:
Problema de seguridad | Información de contacto |
Para informar sobre una vulnerabilidad o un problema de seguridad en Dell.com u otro servicio en línea, aplicación web o propiedad. | Envíe un informe a https://bugcrowd.com/dell-com(en inglés) con las instrucciones paso a paso para reproducir el problema. |
Si sospecha robo de identidad o ha sido víctima de una transacción fraudulenta relacionada con Dell Financial Services, | consulte la página seguridad de Dell Financial Services(en inglés). |
Para enviar solicitudes o preguntas relacionadas con la privacidad, | consulte Privacidad de Dell(en inglés). |
Dell se esfuerza por ser lo más transparente posible al proporcionar información sobre las iniciativas de corrección de vulnerabilidades en nuestra asesoría de seguridad y documentación relacionada, que puede incluir notas de la versión, artículos de la base de conocimientos y preguntas frecuentes (preguntas frecuentes). Dell no comparte las vulnerabilidades explotadas verificadas ni el código de prueba de concepto para las vulnerabilidades identificadas. Además, de acuerdo con las prácticas de la industria, Dell no comparte con entidades externas los resultados de las pruebas ni la prueba de conceptos de las pruebas de seguridad internas, ni otros tipos de información privilegiada.
Los derechos de los clientes de Dell con respecto a las garantías, el soporte y el mantenimiento, incluidas las vulnerabilidades en cualquier producto de software de Dell, se rigen únicamente por el acuerdo aplicable entre Dell y el cliente individual. Las declaraciones presentes en esta página web no cambian, amplían ni modifican los derechos de los clientes; tampoco representan ninguna garantía adicional.
Todos los aspectos de esta política de respuesta a vulnerabilidades están sujetos a cambios sin previo aviso. No se garantiza la respuesta para ningún problema específico o clase de problemas. El uso que haga de la información de este documento o de los materiales vinculados a este se encuentra bajo su responsabilidad.