Programa CVE
- Política de Divulgación de Vulnerabilidades
Objetivo:
El propósito de esta política es establecer un proceso claro y transparente para la divulgación de vulnerabilidades en los sistemas y aplicaciones de ATISoluciones.
Alcance:
Esta política se aplica a todos los empleados, contratistas, proveedores, investigadores y terceros que tengan conocimiento de cualquier vulnerabilidad en los sistemas y aplicaciones de ATISoluciones.Proceso de Divulgación:
1. Identificación de Vulnerabilidades:
Cualquier empleado, contratista, proveedor, tercero o investigador que descubra una vulnerabilidad en los sistemas y aplicaciones de ATISoluciones debe reportarla de inmediato al equipo de seguridad de la información.
2. Reporte de Vulnerabilidades:
Las vulnerabilidades deben ser reportadas al equipo de seguridad de la información a través
del siguiente canal de comunicación, mediante el envío de un correo electrónico a la dirección
cve@atisoluciones.com.
El reporte debe incluir detalles completos y precisos sobre la vulnerabilidad descubierta,
incluyendo la descripción, impacto potencial, pasos detallados para reproducirla, y cualquier
otra información relevante.
ATISoluciones admitirá pruebas de seguridad que:
- Se lleven a cabo de una manera que proteja la seguridad y privacidad de todos nuestros clientes y socios.
- Se lleven a cabo únicamente dentro del alcance definido en esta política.
- Proporcionen a ATISoluciones todos los detalles del problema de seguridad en el
momento de la divulgación.
- Le brinden a ATISoluciones la oportunidad de tomar medidas correctivas antes de la
revelación pública de la vulnerabilidad o la revelación a terceros.
- Cumplan con las leyes y regulaciones aplicables en torno a las actividades de pruebas
de seguridad.
3. Evaluación y Priorización:
- El equipo de seguridad de la información evaluará cada reporte de vulnerabilidad recibido
para determinar su validez y gravedad.
- Las vulnerabilidades serán priorizadas según su impacto potencial en la seguridad de los
sistemas y la información de la empresa.
4. Comunicación de la Divulgación:
- Una vez evaluada y validada la vulnerabilidad, se notificará al descubridor sobre el resultado de la evaluación.
- Se coordinará con el equipo de desarrollo o los proveedores de software para desarrollar y aplicar los parches o soluciones necesarias.
5. Divulgación a clientes:
-
ATISoluciones informará prioritariamente a todos sus clientes afectados por dicha vulnerabilidad (así como de las pautas a seguir
para corregirla/eliminarla) con 15 días de antelación a la divulgación pública de la misma, con el fin de ofrecer un margen de
tiempo de cortesía para su subsanación.
6. Divulgación Pública:
-
Se realizará una divulgación pública de la vulnerabilidad una vez que se hayan desarrollado y aplicado las
soluciones correspondientes, siempre y cuando no comprometa la seguridad de los sistemas.
-
La divulgación pública se realizará de manera coordinada y responsable, siguiendo las mejores prácticas
de divulgación de vulnerabilidades, siendo publicada en https://www.atisoluciones.com/incidentes-cve
Confidencialidad:
Todas las comunicaciones relacionadas con la divulgación de vulnerabilidades se manejarán de manera confidencial, y la identidad del descubridor será protegida, si así lo solicita.
Revisión y Actualización:
Esta política será revisada y actualizada periódicamente por el equipo de seguridad de la información para garantizar su efectividad y relevancia. Así como ATISoluciones se reserva el derecho de actualizarla sin previo aviso.
Aprobación:
Esta política ha sido aprobada por ATISoluciones con fecha 09/05/2024
El reporte debe incluir detalles completos y precisos sobre la vulnerabilidad descubierta, incluyendo la descripción, impacto potencial, pasos detallados para reproducirla, y cualquier otra información relevante.
ATISoluciones admitirá pruebas de seguridad que:
- Se lleven a cabo de una manera que proteja la seguridad y privacidad de todos nuestros clientes y socios.
- Se lleven a cabo únicamente dentro del alcance definido en esta política.
- Proporcionen a ATISoluciones todos los detalles del problema de seguridad en el momento de la divulgación.
- Le brinden a ATISoluciones la oportunidad de tomar medidas correctivas antes de la revelación pública de la vulnerabilidad o la revelación a terceros.
- Cumplan con las leyes y regulaciones aplicables en torno a las actividades de pruebas de seguridad.
- El equipo de seguridad de la información evaluará cada reporte de vulnerabilidad recibido para determinar su validez y gravedad.
- Las vulnerabilidades serán priorizadas según su impacto potencial en la seguridad de los sistemas y la información de la empresa.
- Una vez evaluada y validada la vulnerabilidad, se notificará al descubridor sobre el resultado de la evaluación.
- Se coordinará con el equipo de desarrollo o los proveedores de software para desarrollar y aplicar los parches o soluciones necesarias.
- ATISoluciones informará prioritariamente a todos sus clientes afectados por dicha vulnerabilidad (así como de las pautas a seguir para corregirla/eliminarla) con 15 días de antelación a la divulgación pública de la misma, con el fin de ofrecer un margen de tiempo de cortesía para su subsanación.
- Se realizará una divulgación pública de la vulnerabilidad una vez que se hayan desarrollado y aplicado las soluciones correspondientes, siempre y cuando no comprometa la seguridad de los sistemas.
- La divulgación pública se realizará de manera coordinada y responsable, siguiendo las mejores prácticas de divulgación de vulnerabilidades, siendo publicada en https://www.atisoluciones.com/incidentes-cve
En ATISoluciones somos especialistas en diseño de hardware y software, seguridad Integral e I+D+i.
Enlaces de interes
Contacta con nosotros
C\ Cordoba Nº2 - Polígono Asegra
18210 Peligros, Granada
(+34) 958 999 284