Estamos preparados para trabajar de buena fe con investigadores individuales, ICS-CERT, agencias de inteligencia de seguridad, clientes y personal de campo que puedan descubrir y enviar un informe de vulnerabilidad sobre nuestros productos. Las vulnerabilidades pueden ser reportadas en nuestra página de Reporte y Problema.
Eaton acepta no emprender acciones legales contra las personas que:
Seguimos un proceso interno de evaluación de riesgos para aceptar y acusar recibo de la información de vulnerabilidad, realizar un análisis preliminar y asignar una calificación inicial a la vulnerabilidad enviada. Para cualquier vulnerabilidad reportada externamente en bibliotecas de software de terceros, asignamos una clasificación de riesgo utilizando el método de puntuación de vulnerabilidades CVSS v3 tal como se aplica al producto de Eaton afectado y su contexto de implementación. Cualquier vulnerabilidad cuya puntuación total de CVSS sea de 7,0 o superior o que sea considerada de alto riesgo de seguridad por el CCoE será tratada de forma prioritaria.
Las vulnerabilidades descubiertas en los productos actualmente soportados son corregidas por Eaton. El equipo de CCoE trabaja con el equipo del producto para remediar la vulnerabilidad de acuerdo con la prioridad asignada. Se estima un plazo aproximado para solucionar el problema y se comunica a los informadores de vulnerabilidades (es decir, investigadores individuales, ICS-CERT u otras agencias). El equipo de CCoE durante esta fase actúa como punto de contacto único para las entidades externas y se compromete con los equipos internos para reparar y probar la vulnerabilidad. Durante este tiempo, la comunicación puede ser mantenida con la parte informante mientras trabajamos para resolver el problema.
Eaton libera correcciones/arreglos de vulnerabilidades a través del canal de distribución estándar de los productos afectados. La información técnica detallada relacionada con las correcciones se publica como un aviso de seguridad de producto de Eaton.
Eaton prefiere comprometerse con los investigadores de vulnerabilidades para realizar una divulgación coordinada y espera que los investigadores de vulnerabilidades se abstengan de revelar al público los detalles de las vulnerabilidades antes de que expire un plazo mutuamente acordado.
La divulgación pública de información relacionada con las vulnerabilidades de seguridad se encuentra en nuestra página de notificaciones de ciberseguridad. Esta página es el depósito central de los avisos de seguridad de productos de Eaton relacionados con todos los productos eléctricos de Eaton. Se anima a los clientes a que visiten este portal en busca de los últimos avisos de seguridad.
Tenemos la intención de emitir avisos de seguridad para vulnerabilidades validadas cuando se haya identificado una solución práctica. Puede haber casos en los que se emita un aviso en ausencia de una solución alternativa. Debido a que cada vulnerabilidad de seguridad es diferente, podemos tomar medidas alternativas en relación con la emisión de avisos de seguridad.
Eaton no garantiza que se emitirán avisos de seguridad para cualquiera o todos los asuntos de seguridad que los clientes puedan considerar significativos, ni que se emitirán avisos en un plazo específico.
Eaton mantiene un Hall de Reconocimiento para reconocer debidamente las contribuciones de los investigadores de seguridad que informan sobre las vulnerabilidades de ciberseguridad de los productos en cumplimiento de esta política.