Objetivo
Esta política tiene como objetivo describir los estándares de Digi para responder a posibles vulnerabilidades de seguridad conocidas en la plataforma en la nube de Digi Axess. Define la política de Digi para comunicar posibles vulnerabilidades y ofrecer soluciones a los clientes.
Alcance
Esta política cubre específicamente las vulnerabilidades de seguridad en Digi Axess. Definimos una vulnerabilidad de seguridad como una debilidad o fallo involuntario en el software que tiene el potencial de ser explotado por un agente de amenazas para comprometer la confidencialidad, la integridad o la disponibilidad de Digi Axess.
Esta política no cubre el soporte general y el proceso de resolución de defectos no relacionados con la seguridad. Para más información sobre las políticas generales de asistencia, consulte Asistencia y operaciones del servicio de asistencia.
Audiencia
Esta política es para uso de los socios y clientes de Digi.
Introducción
Digi Axess está diseñado para configurar, desplegar y supervisar activos de forma segura en las redes de los clientes. Nuestro producto incluye muchas funciones de seguridad como: RBAC, aprovisionamiento seguro, políticas de seguridad (rangos de bloques CIDR para acceso web, etcétera), capacidad DUO 2FA, SAML, monitoreo de empuje / extracción de registros de eventos y alertas mediante administrador de configuración. Todas las operaciones son programables por API para que la configuración, los registros o el comportamiento del dispositivo puedan ser monitoreados fácilmente por soluciones personalizadas.
Digi da la bienvenida a la notificación transparente de vulnerabilidades y se compromete a resolverlas de manera oportuna. Además de los informes de los usuarios, Digi busca activamente vulnerabilidades a través de pruebas internas, análisis de código estático/dinámico, pruebas de penetración internas/externas y evaluación continua de nuevos CVE con análisis de composición de software de próxima generación. Las vulnerabilidades pueden descubrirse a través de pruebas de seguridad internas, informarse públicamente como una vulnerabilidad y exposición comunes (CVE) o ser descubiertas por una evaluación de seguridad independiente, un cliente u otra parte.
La política de Digi es evaluar rápidamente el impacto de cualquier vulnerabilidad notificada. Cuando se producen vulnerabilidades críticas muy específicas o exploits de día cero, podemos publicar un aviso para mantener informados a nuestros clientes sobre el impacto y los plazos o mitigaciones de los parches.
Notificación de posibles vulnerabilidades
Se anima a los clientes o socios que experimenten problemas de seguridad con Digi Axess a informar del problema lo antes posible a través del formulario de seguridad de Digi. Al informar sobre una posible vulnerabilidad, incluya la mayor cantidad de información posible (incluido el número CVE, si está disponible) sobre las circunstancias, una prueba de concepto, si corresponde, el impacto potencial y su información de contacto necesaria para que podamos comunicarnos durante la evaluación.
Evaluación de las vulnerabilidades potenciales
Digi utiliza el Sistema Común de Puntuación de Vulnerabilidades (CVSS 4.0). La puntuación CVSS determinada refleja la amenaza potencial de seguridad de la vulnerabilidad en el contexto del diseño del producto Digi. El equipo de seguridad e ingeniería de Digi se reserva el derecho de reclasificar internamente la puntuación CVSS para determinar la probabilidad de impacto en nuestros productos en función de la implementación. En el caso de que un consumidor de bienes y servicios de Digi tenga alguna pregunta sobre las determinaciones que se realizan, se puede proporcionar una cadena vectorial que utilice CVSS V4 de la puntuación determinada por Digi para su aclaración a través de una solicitud de soporte al soporte de Digi.
Información y plazos de resolución
La puntuación CVSS 4.0 se utiliza para priorizar y establecer objetivos de comunicación y resolución de la siguiente manera:
Gravedad |
CVSS 4.0 |
Objetivo de resolución |
Crítica |
9.0-10.0 |
Publicación del parche en 30 días |
Alta |
7.0-8.9 |
Publicación del parche en 30 días |
Mayor |
4.0-6.9 |
Publicación del parche en 90 días |
Menor |
N/A |
Futura publicación |
Sin vulnerabilidad |
N/A |
N/A |
Resolución de posibles vulnerabilidades>
Digi se toma muy en serio las vulnerabilidades de seguridad y se esfuerza por poner a disposición de los clientes y socios la resolución en línea con los objetivos de resolución. Para todos los productos actualmente en soporte (para verificar qué productos ya no son compatibles), visite el portal del cliente de Digi para obtener una lista de anuncios de PCN y EOL.
Para las vulnerabilidades críticas, Digi pone en marcha un proceso formal de gestión de incidentes. Este proceso implica dedicar los recursos apropiados a la resolución hasta que se haya publicado una solución. El proceso incluye procedimientos internos de comunicación y escalado para garantizar que la resolución recibe la máxima prioridad posible.
Todas las vulnerabilidades relevantes se resuelven continuamente mediante actualizaciones del servicio Digi Axess a través de nuestra tecnología de seguridad de software, a menos que se proporcione otra información en un aviso de seguridad.
Recepción de información sobre posibles vulnerabilidades
Los clientes y socios pueden registrarse para recibir información sobre posibles vulnerabilidades que estén en proceso de evaluación o resolución a través del Digi Security Center, y si lo desean pueden asegurarse de recibir las últimas actualizaciones suscribiéndose al canal RSS.
Última actualización: agosto de 2024