Política de respuesta a vulnerabilidades de Dell

Introducción

En Dell nos esforzamos por ayudar a nuestros clientes a minimizar el riesgo asociado a las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es ofrecer a los clientes información oportuna, orientación y opciones de mitigación para abordar las vulnerabilidades. El equipo de respuesta a los incidentes de seguridad de Dell (Dell PSIRT) está acreditado y es responsable de coordinar la respuesta y la divulgación de todas las vulnerabilidades del producto que se informan a Dell.

Dell emplea un proceso riguroso para evaluar y mejorar continuamente nuestras prácticas de respuesta ante vulnerabilidades y las comparamos regularmente con el resto del sector. Dell participa activamente en el Software Assurance Forum for Excellence in Code (SAFECode: http://www.safecode.org, en inglés), el foro para las respuestas a incidentes (http://www.first.org, en inglés) y los esfuerzos de normas internacionales que se desarrollan para la divulgación y el manejo de vulnerabilidades, como ISO 29147 e ISO 30111.

Cómo informar una vulnerabilidad de seguridad

Si identifica una vulnerabilidad de seguridad en cualquiera de los productos Dell, Dell EMC o RSA, infórmelo inmediatamente. La identificación oportuna de las vulnerabilidades de seguridad es fundamental para mitigar los posibles riesgos para nuestros clientes.

Los clientes y socios de productos empresariales y comerciales deben ponerse en contacto con el equipo de soporte técnico correspondiente para informar los problemas de seguridad detectados en un producto Dell. El equipo de soporte técnico, el equipo de productos adecuado y Dell PSIRT trabajarán en conjunto para abordar el problema y ofrecer los siguientes pasos a los clientes.

Los investigadores de seguridad, los grupos del sector, los proveedores y otros usuarios que no tienen acceso a soporte técnico deben enviar informes de vulnerabilidad a Dell PSIRT por correo electrónico (secure@dell.com). Cifre su mensaje y los archivos adjuntos con la clave PGP de Dell PSIRT que puede descargar aquí.

Al informar una posible vulnerabilidad, incluya la mayor cantidad de la información que se indica a continuación para ayudarnos a comprender mejor la naturaleza y el alcance del problema informado:

  • Nombre y versión del producto que contiene la vulnerabilidad
  • Información del entorno o del sistema en el que se reprodujo el problema (por ejemplo, el número de modelo del producto, la versión del sistema operativo, etc.)
  • Tipo o clase de vulnerabilidad (XSS, desbordamiento de búfer, RCE, etc.)
  • Instrucciones paso a paso para reproducir la vulnerabilidad
  • Código de prueba de concepto o de explotación
  • Posible impacto de la vulnerabilidad

Manejo de informes de vulnerabilidad


Dell cree en mantener una buena relación con los investigadores de seguridad y los reconocemos en nuestros avisos (si lo desea). A cambio, pedimos que los investigadores nos den la oportunidad de remediar la vulnerabilidad antes de divulgarla públicamente. Dell considera que es clave coordinar la divulgación pública de una vulnerabilidad para proteger a nuestros clientes.

Toda la información sobre las vulnerabilidades divulgadas según esta política tiene por objeto permanecer en privado entre Dell y la parte que informa (si la información todavía no es de público conocimiento) hasta que se disponga de una corrección y se coordinen las actividades de divulgación.

Corrección de vulnerabilidades

Luego de investigar y validar una vulnerabilidad informada, Dell desarrollará y calificará la corrección adecuada para los productos que estén en el soporte activo de Dell. Una corrección puede tener alguna de las siguientes formas:

  • Una nueva versión del producto afectado presentado por Dell
  • Un parche proporcionado por Dell que puede instalarse en la parte superior del producto afectado
  • Instrucciones para descargar e instalar una actualización o un parche de un proveedor de componentes de terceros necesario para mitigar la vulnerabilidad
  • Un procedimiento correctivo o una solución alternativa publicada por Dell que indica a los usuarios que ajusten la configuración del producto para mitigar la vulnerabilidad

Dell hace todo lo posible para proporcionar la corrección o la acción correctiva en el menor tiempo comercialmente razonable. Los plazos de respuesta dependerán de muchos factores: la gravedad, la complejidad de la corrección, el componente afectado (por ejemplo, algunas actualizaciones requieren ciclos de validación más largos o solo pueden actualizarse en una versión principal), la etapa del producto dentro de su ciclo de vida, etc.

Comunicación de correcciones

Cuando corresponda, Dell comunicará las correcciones a los clientes mediante avisos de seguridad de Dell. Para proteger a los clientes de Dell, los avisos de seguridad se envían una vez que Dell disponga de correcciones para todas las versiones admitidas del producto afectado. Dell puede enviar antes avisos de seguridad para responder adecuadamente a divulgaciones públicas o vulnerabilidades conocidas en los componentes utilizados en los productos Dell.

Los asesores de seguridad tienen por objeto proporcionar detalles suficientes para permitir que los clientes evalúen el impacto de las vulnerabilidades y corregir los productos potencialmente vulnerables. Los detalles completos pueden limitarse a reducir la probabilidad de que usuarios malintencionados puedan aprovechar la información y explotarla en perjuicio de nuestros clientes.

Cuando corresponda, los avisos de seguridad de Dell incluirán la siguiente información:

  • Productos y versiones afectados
  • La calificación de gravedad de la vulnerabilidad (Dell utiliza el sistema de puntuación de vulnerabilidades comunes, CVSS: https://www.first.org/cvss/user-guide, en inglés)
  • Identificador de las enumeraciones de vulnerabilidades comunes (CVE: http://cve.mitre.org, en inglés) para la vulnerabilidad, de manera que la información sobre la vulnerabilidad pueda compartirse en diversas capacidades de administración de vulnerabilidades (herramientas como análisis de vulnerabilidad, repositorios y servicios)
  • Breve descripción de la vulnerabilidad y el posible impacto si se explota
  • Detalles de la corrección con información de actualización/solución alternativa
  • Reconocimiento al buscador por informar la vulnerabilidad y trabajar con Dell en una versión coordinada (si corresponde)

Se puede acceder a las novedades y los avisos de seguridad de Dell en www.dell.com/support/security.

Grado de gravedad

Las vulnerabilidades de seguridad se clasifican según su calificación de gravedad que está determinada por varios factores, incluido el nivel de esfuerzo necesario para explotar una vulnerabilidad, así como el posible impacto de una explotación exitosa en los datos o las actividades empresariales. Dell utiliza la versión 3.0 del sistema de puntuación de vulnerabilidades comunes (CVSS v3.0) para identificar el nivel de gravedad de las vulnerabilidades identificadas. El estándar completo, que mantiene el Forum of Incident Response and Security Teams (FIRST), puede encontrarse en https://www.first.org/cvss (en inglés).

Cuando y donde corresponda, los avisos de seguridad de Dell proporcionarán la puntuación básica CVSS v3.0, el vector CVSS v3.0 correspondiente y la escala de clasificación de gravedad CVSS v3.0 para las vulnerabilidades identificadas. Dell recomienda que todos los clientes tengan en cuenta tanto la puntuación básica como las puntuaciones temporales o del entorno, que puedan ser relevantes para que su entorno evalúe el riesgo general.
 
Información adicional de divulgación

Dell envía avisos de seguridad simultáneamente a todos los clientes y su política es no proporcionar una notificación anticipada a clientes individuales. Esto asegura que todos los clientes estén protegidos mientras se crea una corrección y que reciban la información adecuada para remediar la vulnerabilidad. Es posible que ciertas vulnerabilidades requieran una coordinación multipartidista entre los socios del sector antes de que se divulguen públicamente.

La política de Dell es no proporcionar información adicional acerca de las especificidades de vulnerabilidades más allá de lo que se proporciona en el aviso de seguridad y la documentación relacionada, como notas de la versión, artículos de la base de conocimientos, preguntas frecuentes, etc. Dell no distribuye el código de explotación/prueba de concepto para las vulnerabilidades identificadas.

De acuerdo con las prácticas del sector, la política de Dell es no compartir los hallazgos de pruebas de seguridad interna u otros tipos de actividades de seguridad con entidades externas.

Notificar a Dell sobre otros problemas de seguridad

Si necesita informar cualquier otro problema de seguridad a Dell, utilice los contactos apropiados que se indican a continuación:

Problema de seguridad

Información de contacto

Cómo informar sobre una vulnerabilidad o problema de seguridad en el servicio en línea de Dell, la aplicación web o la propiedad

Envíe un informe a https://bugcrowd.com/dell (en inglés) con las instrucciones detalladas para reproducir el problema.

Cómo informar correos electrónicos de spam y phishing

Comuníquese con Missed_SPAM@dell.com.

Cómo informar un problema de seguridad a Dell Financial Services

Consulte la página de Dell Financial Services (en inglés).

Cómo presentar solicitudes o preguntas relacionadas con la privacidad

Consulte la página de Privacidad de Dell (en inglés).


Derechos del cliente: garantías, soporte y mantenimiento

Los derechos de los clientes de Dell con respecto a las garantías, al soporte y mantenimiento, incluidas las vulnerabilidades de cualquier producto de Dell Software, se rigen por el acuerdo aplicable entre Dell y cada cliente. Las declaraciones en esta página web no modifican ni amplían los derechos de los clientes ni crean ninguna garantía adicional.