Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Política de respuesta a vulnerabilidades de Dell

Introducción

En Dell, nos esforzamos por ayudar a nuestros clientes a minimizar el riesgo asociado a las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es ofrecer a los clientes información oportuna, orientación y opciones de mitigación para abordar las vulnerabilidades. El Equipo de respuesta a incidentes de seguridad de productos Dell (Dell PSIRT) es responsable de coordinar la respuesta y la divulgación de todas las vulnerabilidades de los productos que afectan a los productos de Dell.

Dell participa activamente en varios esfuerzos de la comunidad(en inglés), como el Foro de equipos de respuesta ante incidentes y respuesta (FIRST)(en inglés) y el Foro de garantía de software para la excelencia en el código (SAFECode)(en inglés). Nuestros procesos y procedimientos se alinean con la Infraestructura de servicios FIRST PSIRT(en inglés), así como con otros estándares, incluidos ISO/IEC 29147:2018(en inglés) e ISO/IEC 30111:2019(en inglés).


Manejo de los informes de vulnerabilidad

En Dell, valoramos a nuestros partners de la industria y a los investigadores de seguridad, agradecemos todas las colaboraciones a nuestras iniciativas de seguridad y fomentamos la divulgación responsable y coordinada, ya que la seguridad de nuestros clientes es una preocupación primordial. Nuestro objetivo es garantizar que los remedios o las estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Dell; y trabajar con proveedores externos cuando la corrección requiera su colaboración.

Según esta política, toda la información divulgada sobre nuevas vulnerabilidades se considera confidencial y solo se compartirá entre Dell y la parte que informa si la información aún no es de conocimiento público hasta que haya un recurso disponible y se coordinen las actividades de divulgación.


Corrección de vulnerabilidades

Luego de investigar y validar una vulnerabilidad informada, nos esforzamos por desarrollar y calificar un recurso adecuado para los productos bajo soporte activo de Dell. Un recurso puede adoptar una o varias de las siguientes formas:

  • Una nueva versión del producto afectado empaquetado por Dell.
  • Un parche proporcionado por Dell que puede instalarse sobre el producto afectado.
  • Instrucciones para descargar e instalar una actualización o un parche de un proveedor externo que se requiere para mitigar la vulnerabilidad.
  • Un procedimiento correctivo o una solución alternativa publicados por Dell que instruyen a los usuarios sobre las medidas que se pueden tomar para mitigar la vulnerabilidad.

Dell hace todo lo posible para proporcionar el recurso o la acción correctiva en el menor tiempo que sea razonable desde el punto de vista comercial. Las líneas de tiempo de la respuesta dependen de muchos factores, como:

  • Gravedad de la vulnerabilidad;
  • Complejidad de la vulnerabilidad;
  • Alcance de la afectación;
  • Esfuerzo/impacto para la corrección;
  • Ciclo de vida de producto.

Cómo califica Dell la gravedad y el impacto de las vulnerabilidades

Dell utiliza el estándar Common Vulnerability Score System(en inglés), versión 3.1 (CVSS v3.1), para comunicar las características de las vulnerabilidades en los productos Dell. El estándar lo mantiene FIRST.

El puntaje de CVSS proporciona un medio numérico para cuantificar la gravedad de la vulnerabilidad y tiene en cuenta varios factores, como el nivel de esfuerzo necesario para explotar una vulnerabilidad, así como el impacto potencial en caso de que se explote esa vulnerabilidad. Dell resumirá el impacto evaluado de una vulnerabilidad a través de un puntaje numérico, una cadena vectorial y una representación cualitativa de la gravedad (es decir, crítica, alta, media, baja), según la escala que se proporciona a continuación:

Gravedad

Puntaje de CVSS versión 3.1

Críticos

De 9,0 a 10

Alta

de 7,0 a 8,9

Media

de 4,0 a 6,9

Baja

de 0,1 a 3,9

Dell recomienda que todos los clientes utilicen esta información para respaldar el cálculo de métricas ambientales que podrían ser relevantes para su entorno, a fin de evaluar con precisión el riesgo específico para sus activos o la implementación de productos Dell.

Tenga en cuenta que no es raro que la evaluación de Dell de una vulnerabilidad, el puntaje de CVSS o la cadena vectorial difieran de los proporcionados por otras fuentes. En caso de discrepancia, Dell utilizará la información que se encuentra en las asesorías de seguridad de Dell como fuente autorizada de información.


Comunicaciones externas

Dell publica asesorías de seguridad, avisos y artículos de información para comunicarse con los clientes acerca de las vulnerabilidades de seguridad que afectan a nuestros productos.

Los avisos de seguridad se publican para proporcionar orientación o instrucciones sobre cómo los clientes pueden protegerse, mitigar o corregir vulnerabilidades una vez que Dell haya analizado e identificado las soluciones.

Los avisos de seguridad tienen por objeto proporcionar detalles suficientes para evaluar el impacto de las vulnerabilidades y remediar los productos potencialmente afectados. Sin embargo, los detalles completos pueden limitarse para reducir la probabilidad de que usuarios maliciosos se aprovechen de la información y la exploten en perjuicio de nuestros clientes.

Por lo general, los avisos de seguridad de Dell incluyen la siguiente información, según corresponda:

  • El impacto general, que es una representación textual de la gravedad (es decir, crítica, alta, media y baja) calculada mediante la escala de calificación de gravedad cualitativa de gravedad CVSS para el puntaje base de CVSS más alto de todas las vulnerabilidades identificadas;
  • Productos y versiones afectados;
  • El puntaje base de CVSS y el vector para todas las vulnerabilidades identificadas;
  • Identificador de vulnerabilidades y exposiciones comunes(en inglés) (CVE) para todas las vulnerabilidades identificadas, de modo que la información de cada vulnerabilidad única se pueda compartir entre diversas funcionalidades de administración de vulnerabilidades (por ejemplo, herramientas como escáneres de vulnerabilidades, repositorios y servicios);
  • Descripción breve de la vulnerabilidad y el impacto potencial si se explota;
  • Detalles de la corrección con información sobre la actualización/solución alternativa;
  • Información de la categoría de vulnerabilidad:
    • Código propietario: hardware, software o firmware desarrollado por Dell;
    • Componente de otros fabricantes: hardware, software o firmware que se distribuye libremente por paquete o incorporado de otra manera a un producto Dell;
  • Referencias adicionales según corresponda;

En cada caso, Dell puede publicar un aviso de seguridad para reconocer una vulnerabilidad de seguridad conocida públicamente y proporcionar una declaración u otra orientación sobre cuándo (o dónde) estará disponible la información adicional.

Dell puede publicar artículos informativos relacionados con la seguridad para compartir información sobre temas relacionados con la seguridad, como:

  • Nuevas características de refuerzo de la seguridad introducidas;
  • Guías de configuración de seguridad específicas del producto y prácticas recomendadas;
  • Vulnerabilidades de seguridad en componentes de otros fabricantes, identificadas por herramientas de escaneo de vulnerabilidades, pero que no se pueden explotar dentro del producto especificado;
  • Instrucciones de instalación para la aplicación de actualizaciones de seguridad específicas;
  • Información sobre el efecto de las actualizaciones de seguridad en los requisitos previos y conjuntos de productos que no son de Dell que podrían tener un impacto en los productos Dell.

Notificaciones y avisos de seguridad de Dell disponibles en www.dell.com/support/security(en inglés). Los artículos informativos están disponibles en este enlace una vez autenticados.


Cómo informar una vulnerabilidad de seguridad

Si identifica una vulnerabilidad de seguridad en cualquier producto Dell, le pedimos que nos lo informe lo antes posible. La identificación oportuna y el informe de las vulnerabilidades de seguridad es fundamental para mitigar los posibles riesgos para nuestros clientes. Los investigadores de seguridad deben enviar informes de vulnerabilidad del producto a través del sitio Bugcrowd de Dell(en inglés).  Los clientes y partners de productos empresariales y comerciales deben ponerse en contacto con el equipo de soporte técnico respectivo para informar cualquier problema de seguridad detectado en los productos Dell. El equipo de soporte técnico, el equipo de producto adecuado y Dell PSIRT trabajarán en conjunto para ocuparse del problema informado e indicar los pasos que deben seguir los clientes.

Los grupos de la industria, los proveedores y otros usuarios que no tienen acceso al soporte técnico o que no desean pasar por el programa de recompensa por error pueden enviar informes de vulnerabilidades directamente al PSIRT de Dell por correo electrónico. Los mensajes de correo electrónico y los archivos adjuntos se deben cifrar si tienen información confidencial mediante PGP y una clave PGP de Dell PSIRT, que está disponible para descargar aquí. Dell reconocerá su informe de divulgación de vulnerabilidades tan pronto como las circunstancias lo permitan.

En todos los casos, Dell se esforzará por confirmar su informe de divulgación de vulnerabilidades en un plazo de tres (3) días laborables a partir de la recepción y proporcionará actualizaciones sobre la corrección con una frecuencia de treinta (30) días calendario o menos.

Al informar una posible vulnerabilidad, le pedimos que incluya la mayor cantidad de la información que se indica a continuación para ayudarnos a comprender mejor la naturaleza y el alcance del problema informado:

  • Nombre de producto y versión que contiene la vulnerabilidad/debilidad sospechosa;
  • Información del entorno o del sistema en la que se reprodujo el problema (por ejemplo, número de modelo del producto, versión del sistema operativo y otra información relacionada);
  • Enumeración de debilidades comunes (CWE) y tipo o clase de vulnerabilidad (por ejemplo, scripts entre sitios, desbordamiento de buffer, denegación de servicio, ejecución remota de código);
  • Instrucciones paso a paso para reproducir la vulnerabilidad;
  • Prueba de concepto o código de explotación;
  • Impacto potencial de la vulnerabilidad.

Reglas de conducta de los investigadores

Si una vulnerabilidad le proporciona acceso a información confidencial o no pública (incluidos datos de terceros, datos personales o cualquier información marcada por Dell como uso interno, restringido o altamente restringido), solo debe acceder a dicha información como mínimamente necesaria para informar la vulnerabilidad a Dell. Además del envío a Dell, no debe almacenar, transferir, usar, conservar, divulgar ni copiar ninguna información de este tipo.

Tampoco debe participar en ninguna acción que afecte la integridad o la disponibilidad de los sistemas Dell, a menos que tenga el permiso explícito del propietario. Solo haga lo mínimo indispensable para obtener una prueba de concepto. Si observa una degradación del rendimiento durante la investigación o causa involuntariamente una infracción o interrupción (como el acceso a los datos del cliente o las configuraciones de servicio), detenga cualquier uso de herramientas automatizadas e informe el incidente de inmediato. Si, en cualquier momento, tiene inquietudes o no está seguro de si su investigación de seguridad es coherente con esta política, envíe su consulta a secure@dell.com antes de continuar.


Notificación a Dell sobre otros problemas de seguridad

Utilice los contactos correspondientes que se indican a continuación para informar otros tipos de problemas de seguridad a Dell:

Problema de seguridad

Información de contacto

Para informar sobre una vulnerabilidad o un problema de seguridad en Dell.com u otro servicio en línea, aplicación web o propiedad.

Envíe un informe a https://bugcrowd.com/dell-com(en inglés) con las instrucciones paso a paso para reproducir el problema.

Si sospecha robo de identidad o ha sido víctima de una transacción fraudulenta relacionada con Dell Financial Services,

consulte la página seguridad de Dell Financial Services(en inglés).

Para enviar solicitudes o preguntas relacionadas con la privacidad,

consulte Privacidad de Dell(en inglés).


Limitaciones

Dell se esfuerza por ser lo más transparente posible al proporcionar información sobre las iniciativas de corrección de vulnerabilidades en nuestra asesoría de seguridad y documentación relacionada, que puede incluir notas de la versión, artículos de la base de conocimientos y preguntas frecuentes (preguntas frecuentes).  Dell no comparte las vulnerabilidades explotadas verificadas ni el código de prueba de concepto para las vulnerabilidades identificadas. Además, de acuerdo con las prácticas de la industria, Dell no comparte con entidades externas los resultados de las pruebas ni la prueba de conceptos de las pruebas de seguridad internas, ni otros tipos de información privilegiada.


Derechos del cliente: garantías, soporte y mantenimiento

Los derechos de los clientes de Dell con respecto a las garantías, el soporte y el mantenimiento, incluidas las vulnerabilidades en cualquier producto de software de Dell, se rigen únicamente por el acuerdo aplicable entre Dell y el cliente individual. Las declaraciones presentes en esta página web no cambian, amplían ni modifican los derechos de los clientes; tampoco representan ninguna garantía adicional.


Renuncia de responsabilidades

Todos los aspectos de esta política de respuesta a vulnerabilidades están sujetos a cambios sin previo aviso. No se garantiza la respuesta para ningún problema específico o clase de problemas. El uso que haga de la información de este documento o de los materiales vinculados a este se encuentra bajo su responsabilidad.