Descargar documento () de 20
Hacemos que lo importante funcione*

Política de divulgación de vulnerabilidades de productos

Centro de Excelencia en Ciberseguridad de Productos Eaton (Cybersecurity Center of Excellence, CCoE)

Estamos comprometidos a asegurar que nuestros productos son seguros para nuestros clientes. Reconociendo la importancia de la ciberseguridad en los productos y soluciones de Eaton, hemos establecido un Centro de Excelencia de Ciberseguridad de Productos (CCoE) responsable de impulsar nuestra iniciativa de ciberseguridad de productos.

Descripción general de la respuesta a incidentes de seguridad de productos

El CCoE es responsable de responder a los incidentes de seguridad de los productos y a las vulnerabilidades que afectan a los productos inteligentes de Eaton. Un equipo global dedicado gestiona la recepción, investigación, reparación de vulnerabilidades e informes públicos sobre vulnerabilidades de seguridad relacionadas con los productos de Eaton.

Recepción de información sobre vulnerabilidades

Estamos preparados para trabajar de buena fe con investigadores individuales, ICS-CERT, agencias de inteligencia de seguridad, clientes y personal de campo que puedan descubrir y enviar un informe de vulnerabilidad sobre nuestros productos. Las vulnerabilidades pueden ser reportadas en nuestra página de Reporte y Problema.

Eaton acepta no emprender acciones legales contra las personas que:

  • Participe en la prueba/investigación de productos inteligentes de Eaton sin dañar a Eaton o a sus clientes.
  • Participe en pruebas de vulnerabilidad dentro del alcance de nuestra política de divulgación de vulnerabilidades o recibir permiso/consentimiento previo de Eaton.
  • Pruebe los productos sin afectar a los clientes, o reciba permiso/consentimiento de los clientes antes de realizar pruebas de vulnerabilidad contra sus dispositivos/software, etc.
  • Cumplir con las leyes de su ubicación y la ubicación de Eaton.
  • Envíe informes de vulnerabilidad a través de nuestro proceso para Informar de un problema.
  • Absténgase de revelar al público los detalles de la vulnerabilidad antes de que expire un plazo mutuamente acordado.

Reconocimiento y análisis preliminar

Seguimos un proceso interno de evaluación de riesgos para aceptar y acusar recibo de la información de vulnerabilidad, realizar un análisis preliminar y asignar una calificación inicial a la vulnerabilidad enviada. Para cualquier vulnerabilidad reportada externamente en bibliotecas de software de terceros, asignamos una clasificación de riesgo utilizando el método de puntuación de vulnerabilidades CVSS v3 tal como se aplica al producto de Eaton afectado y su contexto de implementación. Cualquier vulnerabilidad cuya puntuación total de CVSS sea de 7,0 o superior o que sea considerada de alto riesgo de seguridad por el CCoE será tratada de forma prioritaria.

Solucionar o mitigar

Las vulnerabilidades descubiertas en los productos actualmente soportados son corregidas por Eaton. El equipo de CCoE trabaja con el equipo del producto para remediar la vulnerabilidad de acuerdo con la prioridad asignada. Se estima un plazo aproximado para solucionar el problema y se comunica a los informadores de vulnerabilidades (es decir, investigadores individuales, ICS-CERT u otras agencias). El equipo de CCoE durante esta fase actúa como punto de contacto único para las entidades externas y se compromete con los equipos internos para reparar y probar la vulnerabilidad. Durante este tiempo, la comunicación puede ser mantenida con la parte informante mientras trabajamos para resolver el problema.

Publicación de la solución

Eaton libera correcciones/arreglos de vulnerabilidades a través del canal de distribución estándar de los productos afectados. La información técnica detallada relacionada con las correcciones se publica como un aviso de seguridad de producto de Eaton.

Eaton prefiere comprometerse con los investigadores de vulnerabilidades para realizar una divulgación coordinada y espera que los investigadores de vulnerabilidades se abstengan de revelar al público los detalles de las vulnerabilidades antes de que expire un plazo mutuamente acordado.

Avisos de seguridad de Eaton

La divulgación pública de información relacionada con las vulnerabilidades de seguridad se encuentra en nuestra página de notificaciones de ciberseguridad. Esta página es el depósito central de los avisos de seguridad de productos de Eaton relacionados con todos los productos eléctricos de Eaton. Se anima a los clientes a que visiten este portal en busca de los últimos avisos de seguridad.

Tenemos la intención de emitir avisos de seguridad para vulnerabilidades validadas cuando se haya identificado una solución práctica. Puede haber casos en los que se emita un aviso en ausencia de una solución alternativa. Debido a que cada vulnerabilidad de seguridad es diferente, podemos tomar medidas alternativas en relación con la emisión de avisos de seguridad.

Eaton no garantiza que se emitirán avisos de seguridad para cualquiera o todos los asuntos de seguridad que los clientes puedan considerar significativos, ni que se emitirán avisos en un plazo específico.

Recompensa y reconocimiento

Eaton mantiene un Hall de Reconocimiento para reconocer debidamente las contribuciones de los investigadores de seguridad que informan sobre las vulnerabilidades de ciberseguridad de los productos en cumplimiento de esta política.

 

Eaton se reserva el derecho de modificar esta política en cualquier momento, a su entera discreción.