Digi Remote Manager Política de parches contra vulnerabilidades

Objetivo

Esta política tiene por objeto describir las normas de Digi para responder a posibles vulnerabilidades de seguridad conocidas en la versión en la nube de Digi Remote Manager, y no se aplica a la versión local. Define la política de Digi para comunicar posibles vulnerabilidades y ofrecer soluciones a los clientes.

Alcance

Esta política cubre específicamente las vulnerabilidades de seguridad en Digi Remote Manager. Definimos una vulnerabilidad de seguridad como una debilidad o defecto no intencionado dentro del software que tiene el potencial de ser explotado, por un agente de amenaza, con el fin de comprometer la red de un cliente.

Esta política no cubre el soporte general y el proceso de resolución de defectos no relacionados con la seguridad. Para más información sobre las políticas generales de asistencia, consulte Asistencia y operaciones del servicio de asistencia.

Audiencia

Esta política es para uso de los socios y clientes de Digi.

Introducción

Digi Remote Manager está diseñado para configurar, desplegar y supervisar activos de forma segura en las redes de los clientes. Nuestro producto incluye muchas funciones de seguridad como: RBAC, aprovisionamiento seguro, políticas de seguridad (rangos de bloques CIDR para acceso web, etc.), capacidad DUO 2FA, SAML, monitorización push/pull de registros de eventos y alertas mediante el gestor de configuración. Todas las operaciones son programables mediante API, de modo que la configuración del dispositivo, los registros o el comportamiento pueden supervisarse fácilmente mediante soluciones personalizadas.

Digi agradece la notificación transparente de vulnerabilidades y se compromete a resolverlas a tiempo. Además de la notificación por parte de los usuarios, Digi busca activamente vulnerabilidades mediante pruebas internas, análisis de código estático/dinámico, pruebas de penetración internas/externas y evaluando continuamente nuevos CVE con análisis de composición de software de nueva generación. Las vulnerabilidades pueden ser descubiertas a través de pruebas de seguridad internas, notificadas públicamente como Vulnerabilidad y Exposición Común (CVE), o descubiertas por una evaluación de seguridad independiente, un cliente u otra parte.

La política de Digi es evaluar rápidamente el impacto de cualquier vulnerabilidad notificada. Cuando se producen vulnerabilidades críticas muy específicas o exploits de día cero, podemos publicar un aviso para mantener informados a nuestros clientes sobre el impacto y los plazos o mitigaciones de los parches.

Notificación de posibles vulnerabilidades

Se recomienda a los clientes o socios que experimenten problemas de seguridad con Digi Remote Manager que informen del problema lo antes posible a través del formulario de seguridad de Digi. Cuando informe de una posible vulnerabilidad, incluya tanta información como sea posible (incluido el número CVE si está disponible) sobre las circunstancias, una prueba de concepto si procede, el impacto potencial y su información de contacto para que podamos comunicarnos durante el proceso de triaje.

Evaluación de las vulnerabilidades potenciales

Digi utiliza el Sistema Común de Puntuación de Vulnerabilidades (CVSS 4.0). La puntuación CVSS determinada refleja la amenaza potencial para la seguridad de la vulnerabilidad dentro del contexto del diseño de productos de Digi. El equipo de seguridad e ingeniería de Digi se reserva el derecho de reclasificar internamente la puntuación CVSS para determinar la probabilidad de impacto en nuestros productos en función de la implementación. En el caso de que un consumidor de bienes y servicios de Digi tenga alguna duda sobre qué determinaciones se realizan, se puede proporcionar una cadena de vectores utilizando CVSS V4 de la puntuación determinada por Digi para su aclaración a través de una solicitud de soporte a Soporte Digi.

Información y plazos de resolución

La puntuación CVSS 4.0 se utiliza para priorizar y establecer objetivos de comunicación y resolución de la siguiente manera:

Gravedad CVSS 4.0 Objetivo de resolución
Crítica 9.0-10.0 Publicación del parche en 30 días
Alta 7.0-8.9 Publicación del parche en 30 días
Mayor 4.0-6.9 Publicación del parche en 90 días
Menor N/A Futura publicación
Sin vulnerabilidad N/A N/A

Resolución de posibles vulnerabilidades>

Digi se toma en serio las vulnerabilidades de seguridad y se esfuerza por poner a disposición de los clientes y socios la resolución de las mismas de acuerdo con los objetivos de resolución. Para todos los productos actualmente en soporte (para verificar qué productos ya no son soportados) por favor visite el portal de clientes de Digi para obtener una lista de PCNs y anuncios EOL).

Para las vulnerabilidades críticas, Digi pone en marcha un proceso formal de gestión de incidentes. Este proceso implica dedicar los recursos apropiados a la resolución hasta que se haya publicado una solución. El proceso incluye procedimientos internos de comunicación y escalado para garantizar que la resolución recibe la máxima prioridad posible.

Todas las vulnerabilidades relevantes se resuelven continuamente mediante actualizaciones del servicio Remote Manager a través de nuestra tecnología de análisis de composición de software, a menos que se facilite otra información en un aviso de seguridad.

Recepción de información sobre posibles vulnerabilidades

Los clientes y socios pueden registrarse para recibir información sobre posibles vulnerabilidades que estén en proceso de evaluación o resolución a través del Digi Security Center, y si lo desean pueden asegurarse de recibir las últimas actualizaciones suscribiéndose al canal RSS.