Política de divulgación de vulnerabilidades

Nuestro ciclo de desarrollo de producto sigue las directrices de Secure By Design, lo que nos compromete, entre otras acciones, a (i) identificar, analizar, reducir de forma sistemática las vulnerabilidades de nuestros productos; (ii) a publicar nuevas versiones que incluyan parches de seguridad para vulnerabilidades conocidas; y (iii) publicar una política de divulgación de vulnerabilidades (PDV). 

Nuestra Política de Divulgación de Vulnerabilidades autoriza las pruebas que terceras personas puedan realizar en nuestros productos, y nos compromete, como fabricantes del producto, a no recomendar o emprender acciones legales contra nadie que participe en esfuerzos de buena fe para seguir dicha política. Además, proporciona un canal claro para informar de vulnerabilidades y permite la divulgación pública de vulnerabilidades en línea con las mejores prácticas de las normas internacionales relativas a ciberseguridad.

Fermax cree firmemente en que la divulgación coordinada de vulnerabilidades es mutuamente beneficiosa tanto para la empresa, como para la comunidad de investigadores de seguridad. Como fabricantes de hardware/software confiamos en la comunidad de investigación en seguridad como un medio para ayudarnos a proteger mejor nuestros productos. Esta política proporciona a los investigadores de seguridad (i) un marco confiable de trabajo; y (ii) un canal abierto para el reporte de vulnerabilidades. 

En Fermax nos tomamos muy en serio los problemas de seguridad y agradecemos los comentarios de los investigadores de seguridad para mejorar nuestros productos, aplicaciones y servicios en la nube. Todas las vulnerabilidades que se nos comuniquen mediante este procedimiento se analizarán y se abordarán, bien para mitigar, bien para remediar esos problemas en nuestras infraestructuras y servicios.
 

Informar sobre problemas de seguridad

Esta política es extensible a todos los empleados, clientes, proveedores, investigadores en seguridad y terceros en general que tengan conocimiento de cualquier vulnerabilidad en los sistemas y aplicaciones de Fermax.

Si crees haber descubierto una vulnerabilidad en un producto Fermax o tienes un incidente de seguridad que reportar, envía un correo electrónico a security@fermax.com o rellena nuestro formulario de vulnerabilidades, a través del siguiente enlace: https://www.fermax.com/informe-ciberseguridad 

La vulnerabilidad reportada entrará directamente en nuestro backlog de tareas de seguridad, desde donde haremos el seguimiento hasta su resolución.

Para facilitar la gestión de la vulnerabilidad reportada, hacer seguimiento del caso, y aclarar posibles dudas, te pedimos que nos notifiques conforme a lo siguiente:

  • Nombre, Apellidos y email de contacto.
  • Producto afectado/aplicación/servicio afectado. Si procede, número de modelo y versión del producto.
  • Detalles de la configuración / dispositivos / tipo de instalación utilizada para reproducir el problema.
  • Descripción de los pasos seguidos para reproducir el problema.
  • Referencias públicas (si las hubiera).
  • Fecha de descubrimiento.
  • Sugerencia de corrección (si la hubiera).

Por favor, utiliza este canal oficial para reportar problemas de seguridad, proporcionando toda la información relevante. Cuantos más detalles proporciones, más fácil será para nosotros clasificar y resolver el problema.

Siguiendo nuestra Política de Divulgación de Vulnerabilidades, le responderemos al email de contacto indicado, una vez hayamos analizado el impacto, la gravedad y la complejidad del exploit en el informe de vulnerabilidad. 

Si bien consideramos valiosa cualquier vulnerabilidad que nos proporciones, te pedimos que te abstengas de realizar cualquier tipo de investigación de seguridad que pueda dañar a nuestros usuarios, sistemas y servicios, o que pueda corromper datos. 

Asimismo, si eres un investigador y detectas una vulnerabilidad que afecte a datos sensibles (e.g. PII o información personal identificable; información financiera; información confidencial; o secretos comerciales de terceros), deberás suspender las pruebas, notificar de inmediato la vulnerabilidad y no divulgar estos datos a terceros. Si un investigador actúa de mala fe, realizando alguna actividad que incumpla este procedimiento u otra legislación aplicable, podrá estar sujeto a responsabilidades penales o civiles.

 

Divulgación Pública

Fermax divulgará públicamente la vulnerabilidad una vez que hayamos desarrollado y aplicado las soluciones correspondientes, siempre que no comprometa la seguridad de nuestros usuarios. Para demostrar la máxima transparencia, cada informe de vulnerabilidad incluye un código preciso de Common Vulnerabilities and Exposures (CVE), cuando sea aplicable, incluyendo la Common Weakness Enumeration (CWE) y la Common Platform Enumeration (CPE). Además, nos comprometemos a publicar un CVE lo antes posible para todas las vulnerabilidades críticas o de alto impacto (ya sean descubiertas internamente o por un tercero).

La divulgación pública la realizaremos de manera coordinada y responsable, siguiendo las mejores prácticas de divulgación de vulnerabilidades y siendo publicada en https://www.fermax.com/avisos-seguridad

 

Protección de Datos

De acuerdo con el Reglamento (UE) 2016/679, de 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos o ‘GDPR’) y la legislación española de protección de datos (‘LOPDGDD’), le informamos que los datos personales proporcionados para comunicar una vulnerabilidad serán tratados por FERMAX ELECTRÓNICA, S.A.U. (‘FERMAX’) como Responsable del Tratamiento, con el fin de notificarle sobre la resolución del incidente comunicado.

La base legal para el tratamiento de los datos se establece en el artículo 6.1.a) del GDPR (consentimiento), que se otorga al comunicar la vulnerabilidad.

También le informamos que los datos personales proporcionados no serán divulgados a terceros y solo se conservarán hasta que la vulnerabilidad haya sido resuelta. Como titular de dichos datos, puede ejercer sus derechos de acceso, rectificación, supresión, limitación y oposición al tratamiento y portabilidad de sus datos enviando un correo electrónico a privacidad@fermax.com.

Puede encontrar más información sobre sus derechos en materia de protección de datos personales en la Agencia Española de Protección de Datos a través del sitio web https://www.aepd.es.
 

Confidencialidad

Todas las comunicaciones relacionadas con la divulgación de vulnerabilidades respetarán la identidad del descubridor, manteniéndola confidencial, salvo que éste indique lo contrario.

 

Revisión y Actualización

Esta política es revisada y actualizada periódicamente por el equipo de seguridad de la información para garantizar su efectividad y relevancia. Así como nos reservamos el derecho de actualizarla sin previo aviso.