Objetivo
Esta política tiene por objeto describir las normas de Digi para responder a posibles vulnerabilidades de seguridad conocidas en la versión en la nube de Digi Remote Manager, y no se aplica a la versión local. Define la política de Digi para comunicar posibles vulnerabilidades y ofrecer soluciones a los clientes.
Alcance
Esta política cubre específicamente las vulnerabilidades de seguridad en Digi Remote Manager. Definimos una vulnerabilidad de seguridad como una debilidad o defecto no intencionado dentro del software que tiene el potencial de ser explotado, por un agente de amenaza, con el fin de comprometer la red de un cliente.
Esta política no cubre el soporte general y el proceso de resolución de defectos no relacionados con la seguridad. Para más información sobre las políticas generales de asistencia, consulte Asistencia y operaciones del servicio de asistencia.
Audiencia
Esta política es para uso de los socios y clientes de Digi.
Introducción
Digi Remote Manager está diseñado para configurar, desplegar y supervisar activos de forma segura en las redes de los clientes. Nuestro producto incluye muchas funciones de seguridad como: RBAC, aprovisionamiento seguro, políticas de seguridad (rangos de bloques CIDR para acceso web, etc.), capacidad DUO 2FA, SAML, monitorización push/pull de registros de eventos y alertas mediante el gestor de configuración. Todas las operaciones son programables mediante API, de modo que la configuración del dispositivo, los registros o el comportamiento pueden supervisarse fácilmente mediante soluciones personalizadas.
Digi welcomes the transparent reporting of vulnerabilities and is committed to resolving them in a timely manner. In addition to reporting by users, Digi actively searches for vulnerabilities through internal testing, static/dynamic code analysis, internal/external penetration testing and assessing new CVEs continously with next generation software composition analysis. The vulnerabilities may be discovered through internal security testing, reported publicly as a Common Vulnerability and Exposure (CVE), or discovered by an independent security assessment, a customer, or another party.
La política de Digi es evaluar rápidamente el impacto de cualquier vulnerabilidad notificada. Cuando se producen vulnerabilidades críticas muy específicas o exploits de día cero, podemos publicar un aviso para mantener informados a nuestros clientes sobre el impacto y los plazos o mitigaciones de los parches.
Notificación de posibles vulnerabilidades
Se recomienda a los clientes o socios que experimenten problemas de seguridad con Digi Remote Manager que informen del problema lo antes posible a través del formulario de seguridad de Digi. Cuando informe de una posible vulnerabilidad, incluya tanta información como sea posible (incluido el número CVE si está disponible) sobre las circunstancias, una prueba de concepto si procede, el impacto potencial y su información de contacto para que podamos comunicarnos durante el proceso de triaje.
Evaluación de las vulnerabilidades potenciales
Digi utiliza el Sistema Común de Puntuación de Vulnerabilidades (CVSS 3.0). La puntuación CVSS determinada refleja la amenaza potencial para la seguridad de la vulnerabilidad dentro del contexto del diseño de productos de Digi. El equipo de seguridad e ingeniería de Digi se reserva el derecho de reclasificar internamente la puntuación CVSS para determinar la probabilidad de impacto en nuestros productos en función de la implementación. En el caso de que un consumidor de bienes y servicios de Digi tenga alguna duda sobre qué determinaciones se realizan, se puede proporcionar una cadena de vectores utilizando CVSS V3 de la puntuación determinada por Digi para su aclaración a través de una solicitud de soporte a Soporte Digi.
Información y plazos de resolución
La puntuación CVSS 3.0 se utiliza para priorizar y establecer objetivos de comunicación y resolución de la siguiente manera:
| Gravedad |
CVSS 3.0 |
Objetivo de resolución |
| Crítica |
9.0-10.0 |
Publicación del parche en 30 días |
| Alta |
7.0-8.9 |
Publicación del parche en 30 días |
| Mayor |
4.0-6.9 |
Publicación del parche en 90 días |
| Menor |
N/A |
Futura publicación |
| Sin vulnerabilidad |
N/A |
N/A |
Resolución de posibles vulnerabilidades>
Digi se toma en serio las vulnerabilidades de seguridad y se esfuerza por poner a disposición de los clientes y socios la resolución de las mismas de acuerdo con los objetivos de resolución. Para todos los productos actualmente en soporte (para verificar qué productos ya no son soportados) por favor visite el portal de clientes de Digi para obtener una lista de PCNs y anuncios EOL).
Para las vulnerabilidades críticas, Digi pone en marcha un proceso formal de gestión de incidentes. Este proceso implica dedicar los recursos apropiados a la resolución hasta que se haya publicado una solución. El proceso incluye procedimientos internos de comunicación y escalado para garantizar que la resolución recibe la máxima prioridad posible.
Todas las vulnerabilidades relevantes se resuelven continuamente mediante actualizaciones del servicio Remote Manager a través de nuestra tecnología de análisis de composición de software, a menos que se facilite otra información en un aviso de seguridad.
Recepción de información sobre posibles vulnerabilidades
Los clientes y socios pueden registrarse para recibir información sobre posibles vulnerabilidades que estén en proceso de evaluación o resolución a través del Digi Security Center, y si lo desean pueden asegurarse de recibir las últimas actualizaciones suscribiéndose al canal RSS.