Política de divulgación de vulnerabilidades
Este documento de política describe los procedimientos y directrices de KCF Technologies, Inc. (KCF) en relación con la investigación, los hallazgos, la divulgación pública y la corrección de vulnerabilidades y exposiciones comunes (CVE) que afectan a nuestros productos y servicios. El objetivo de esta política es garantizar un enfoque coherente y transparente en la gestión de las CVE, centrándose en mantener la seguridad y la confianza de nuestros clientes.
Proceso de creación del CVE
Identificación y evaluación:
- El equipo de seguridad de KCF supervisa y evalúa activamente las posibles vulnerabilidades de nuestros productos de software y hardware, incluidos SMARTdiagnostics, las estaciones base y los sensores.
- Cuando se descubre una vulnerabilidad potencial, se le asigna un identificador único y se evalúa su gravedad, impacto y probabilidad de explotación.
- Los informes detallados de los hallazgos, tanto internos como externos, incluidos los pasos para su replicación, deben enviarse al Departamento de Ciberseguridad de KCF a [email protected].
- Las vulnerabilidades deben ser reproducibles. El Departamento de Ciberseguridad validará todas las vulnerabilidades potenciales mediante los pasos de reproducción previstos antes de considerar la publicación de un CVE.
Creación de CVE:
- Si se confirma una vulnerabilidad y se considera significativa, se creará un CVE de acuerdo con las directrices de la Enumeración Común de Vulnerabilidades (CVE). Las vulnerabilidades significativas incluyen, entre otras, las siguientes consideraciones:
- Explotabilidad: La vulnerabilidad debe ser explotable, incluso si requiere una configuración no predeterminada. Debe ser posible que un atacante aproveche la vulnerabilidad para comprometer la seguridad o integridad del sistema, software o servicio afectado.
- Impacto en los productos o servicios de KCF: La vulnerabilidad debe tener el potencial de afectar al rendimiento o funcionamiento de los productos o servicios de KCF (sustituya "KCF" por el nombre real de su organización). Esto incluye vulnerabilidades que puedan resultar en interrupciones del servicio, agotamiento de recursos u otros efectos adversos en la funcionalidad de las ofertas de KCF.
- Divulgación no autorizada de información: La vulnerabilidad debe permitir la divulgación no autorizada de información sensible. Esto incluye situaciones en las que un atacante puede acceder u obtener información a la que no debería tener acceso, como información de identificación personal (PII), datos financieros o información comercial confidencial.
- Alteración o destrucción no autorizada de datos: La vulnerabilidad debe permitir la alteración o destrucción no autorizada de datos. Esto incluye escenarios en los que un atacante puede modificar, eliminar o manipular datos sin los permisos o autorizaciones apropiados, lo que lleva a la corrupción de datos, pérdida de datos o cambios no autorizados en las configuraciones del sistema.
- El CVE incluirá una descripción detallada de la vulnerabilidad, su impacto, los productos afectados y cualquier solución o mitigación disponible.
Investigación y resultados
Investigación:
- Tras confirmar una posible vulnerabilidad, el equipo de seguridad de KCF llevará a cabo una investigación exhaustiva para comprender su causa, impacto y posibles vectores de ataque.
- El equipo colaborará con las partes interesadas, incluidos desarrolladores, ingenieros e investigadores de seguridad externos, para recopilar la información y los conocimientos necesarios.
Evaluación de riesgos:
- El equipo de seguridad realizará una evaluación exhaustiva de los riesgos, teniendo en cuenta el impacto potencial sobre los datos de los clientes, la integridad del sistema y la disponibilidad del servicio.
- La evaluación se utilizará para determinar el nivel de gravedad de la vulnerabilidad y priorizar los esfuerzos de reparación en consecuencia.
Divulgación pública
Divulgación responsable:
- KCF sigue un planteamiento de divulgación responsable, que implica proporcionar detalles de la vulnerabilidad a las partes afectadas, al tiempo que se deja tiempo suficiente para su corrección antes de su divulgación pública.
- El calendario de divulgación responsable se definirá en coordinación con los proveedores afectados y las partes interesadas pertinentes.
Publicación CVE:
- Una vez que el proceso de remediación esté en marcha, y los clientes afectados hayan sido notificados, KCF Technologies publicará el CVE en la página de estado de KCF en https://kcfstatus.com/.
- La publicación del CVE incluirá un resumen conciso de la vulnerabilidad, su índice de gravedad, los productos afectados y cualquier medida correctiva o actualización disponible.
Comunicación con el cliente
Notificación de estado por correo electrónico:
- Cuando se publique en la página de estado una CVE que afecte a los productos y servicios de KCF, se informará puntualmente a los clientes mediante un correo electrónico de estado.
- El correo electrónico de estado proporcionará detalles sobre la CVE, los riesgos potenciales y orientación sobre cómo los clientes pueden mitigar la vulnerabilidad o aplicar las actualizaciones necesarias.
Contacto con los clientes afectados
En situaciones en las que se determine que los clientes de KCF están siendo activamente explotados debido a una vulnerabilidad confirmada, se tomarán las siguientes medidas:
- El equipo de seguridad de KCF priorizará la notificación al cliente en función de la gravedad y el impacto de la vulnerabilidad y el nivel de explotación activa.
- Se contactará rápidamente con los clientes afectados utilizando la información de contacto disponible en sus registros de cliente.
- La notificación incluirá detalles sobre la vulnerabilidad, riesgos potenciales, acciones recomendadas e información sobre cualquier parche, solución o mitigación disponibles.
- También pueden utilizarse canales de comunicación adicionales, como avisos de seguridad en el sitio web de KCF, notificaciones por correo electrónico o portales de asistencia, para garantizar una amplia concienciación y llegar a los clientes que puedan verse afectados.
KCF reconoce la importancia de la colaboración con los clientes afectados durante los esfuerzos de mitigación de vulnerabilidades. El equipo de seguridad anima a los clientes a informar de cualquier actividad sospechosa, proporcionar información adicional sobre el impacto de la vulnerabilidad y participar activamente en la aplicación de las medidas de seguridad recomendadas.
Remediación
Proceso de remediación:
- Una vez descubierta una vulnerabilidad, KCF iniciará un proceso de reparación rápido y bien definido.
- El equipo de seguridad, en colaboración con los equipos de desarrollo de productos e ingeniería, trabajará para desarrollar e implantar las correcciones o parches adecuados.
Despliegue de parches:
- KCF publicará parches de seguridad, actualizaciones o nuevas versiones de los productos y servicios afectados para solucionar las vulnerabilidades detectadas.
- No se espera que los clientes apliquen los parches por sí mismos; el Centro Técnico de Productos de KCF y los equipos de desarrollo aplicarán la corrección.
Verificación y validación:
- Antes de su publicación, todos los parches y actualizaciones de seguridad se someterán a pruebas y validaciones exhaustivas para garantizar su eficacia y un impacto mínimo en la funcionalidad del sistema.
Comunicación permanente
A lo largo del proceso de reparación de la vulnerabilidad, KCF mantendrá abiertas las líneas de comunicación con los clientes afectados. Se proporcionarán actualizaciones periódicas, informes de progreso y cualquier aclaración necesaria para garantizar la transparencia y la satisfacción del cliente.
Mediante la detección proactiva de vulnerabilidades explotadas activamente y el contacto inmediato con los clientes afectados, KCF pretende minimizar el impacto de dichas vulnerabilidades y mejorar la postura de seguridad general de sus productos y servicios.
Conclusión
Esta política describe el enfoque de KCF respecto a la investigación, los hallazgos, la divulgación pública y la corrección de los CVE que afectan a nuestros productos de software y hardware.
Historial de revisiones
Versión
1
Fecha
7/13/2023
Descripción
Lanzamiento inicial
Autor(es)
CSM
Revisor
TZ