Envíe una vulnerabilidad de seguridad

Política de divulgación responsable

Digi International Inc. se esfuerza por garantizar que nuestros clientes confíen en la seguridad de nuestros productos y servicios. Si ha descubierto una vulnerabilidad de seguridad en Digi.com o en cualquier Producto o Servicio de la marca Digi, le solicitamos que nos la comunique de acuerdo con esta Norma de Divulgación Responsable.

Para ofrecer un mecanismo seguro a nuestra base de clientes e investigadores, nos asociamos con Bugcrowd Inc. ("Bugcrowd") y aprovechamos su plataforma del Programa de Divulgación de Vulnerabilidades. Tras la validación de un envío, Digi corregirá las vulnerabilidades de acuerdo con nuestras normas de gestión de riesgos para mantener el compromiso con la confidencialidad, integridad y disponibilidad de nuestra infraestructura y productos.

Para notificar una presunta vulnerabilidad, envíe información detallada mediante el formulario que encontrará al final de esta página. Revise la sección de datos del informe de envío de vulnerabilidades para obtener sugerencias sobre qué proporcionar para los detalles del caso.

Decoro de seguridad

A continuación se describen el comportamiento esperado, la etiqueta y los principios que rigen las interacciones en el contexto de las actividades relacionadas con la seguridad para participar en nuestro programa de divulgación de vulnerabilidades.

• Cumpla siempre las normas de protección de datos y no viole la privacidad de nuestros usuarios, personal, contratistas, servicios o sistemas.
• Por ejemplo, no debe compartir, redistribuir o no proteger correctamente los datos recuperados de los sistemas o servicios.
• No debe acceder, descargar ni modificar datos que no le pertenezcan.
• No divulgue al público ni a terceros ninguna vulnerabilidad identificada o supuesta que se aborde en su envío sin el consentimiento expreso por escrito de Digi.

Elimine de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o en el plazo de un mes desde la resolución de la vulnerabilidad, lo que ocurra primero (o según exija la ley de protección de datos).

Ciclo de vida de la comunicación de presentación

El equipo de seguridad de Digi se compromete a coordinarse con el investigador de la forma más transparente y rápida posible. El ciclo de vida de la presentación incluye lo siguiente:

• El investigador o cliente envía el formulario siguiendo nuestra Norma y Programa de Divulgación de Vulnerabilidades.
  • Toda comunicación con Digi acerca de la vulnerabilidad presentada se realizará a través del correo electrónico proporcionado en la presentación de la plataforma de divulgación de vulnerabilidades de Bugcrowd. (Nota: Para comunicarse con Digi y el equipo de seguridad de Bugcrowd, debe reclamar la presentación a través de una validación de correo electrónico enviada a su correo electrónico desde Bugcrowd).
  • El equipo de seguridad de Digi responsable de la coordinación de vulnerabilidades acusará recibo de las posibles vulnerabilidades en los cuatro días siguientes a su presentación.
  • El equipo de seguridad de Digi se especifica como Digi_Sec_(nombre del miembro del personal de Digi) en la cadena de comunicación y actualizará continuamente al remitente a lo largo del ciclo de vida de la vulnerabilidad.
• Bugcrowd y el equipo de seguridad de Digi evaluarán la vulnerabilidad basándose en nuestro sistema de clasificación de riesgos.
• Una vez determinada la validez de la vulnerabilidad, se evaluará de acuerdo con el proceso de gestión del ciclo de vida del equipo de producto. Los resultados pueden requerir una acción a través de las políticas de parches de Digi que se encuentran aquí: https://www.digi.com/resources/security/security-policies
  • Para consultar las declaraciones de asistencia de todos los demás productos, incluida la información sobre los productos al final de su vida útil ("EOL"), visite: https://www.digi.com/support/support-policy

Tipos de presentación incluidos

• Vulnerabilidades de la lógica empresarial
• OWASP Top 10
• Divulgación de información
• Exposición de datos
• Problemas de autorización/autenticación
• Se puede enviar cualquier cosa fuera de la lista anterior que pueda afectar o afecte actualmente a la confidencialidad, integridad o disponibilidad de los sistemas, servicios o propiedad de Digi.

Datos del informe de presentación de vulnerabilidades

La siguiente información ayudaría mejor al equipo de seguridad de Digi y Bugcrowd a validar y triar la vulnerabilidad.

• Nombre del producto o servicio, URL o versión del firmware afectado
• Sistema operativo de los componentes implicados
• Información sobre la versión
• Descripción técnica, lo más detallada posible, de las acciones realizadas y de su resultado.
• Código de ejemplo utilizado para probar o demostrar la vulnerabilidad
• Información de contacto del periodista
• Otras partes implicadas, si procede
• Planes de divulgación
• Evaluación de la amenaza/riesgo Detalles de las amenazas identificadas y/o nivel de riesgo (P1(Crítico)P2(Grave) P3(Moderado)P4(Bajo)P5(Informativo))
• Configuración de software del ordenador o configuración del dispositivo en el momento de descubrir la vulnerabilidad
• Información pertinente sobre los componentes conectados y el momento en que se produce la vulnerabilidad (por ejemplo, un componente o dispositivo secundario desencadena la vulnerabilidad)
• Fecha y hora del descubrimiento
• Información sobre el navegador, incluido el tipo y la versión, si procede

Sistema de clasificación de riesgos

Para la priorización/clasificación inicial de los hallazgos, este programa utilizará la taxonomía de clasificación de vulnerabilidades de Bugcrowd. Sin embargo, en algunos casos, la prioridad de una vulnerabilidad se modificará debido a su probabilidad o impacto. En todos los casos en que se rebaje la prioridad de un problema, se proporcionará al investigador una explicación completa y detallada, junto con la oportunidad de apelar y argumentar a favor de una prioridad más alta. Antes de enviar información sobre la evaluación de riesgos, tenga en cuenta el desglose de gravedad que seguimos con la plataforma de Bugcrowd:

• P1 Crítico: El problema identificado en el envío tiene la máxima prioridad y debe asignarse a los bloqueos importantes. Normalmente, los envíos con una prioridad P1 clasificados como bloqueadores importantes hacen que la aplicación no se pueda utilizar, tienen el potencial de interrumpir las operaciones empresariales y requieren atención inmediata.
• P2 Grave: Este problema identificado en la presentación no es crítico pero afecta significativamente a la aplicación.
• P3 Moderado: El envío no presenta un problema crítico o grave, pero sí descubre un fallo en la aplicación que debe solucionarse.
• P4 Bajo: Esta presentación tiene la prioridad más baja y representa un problema menor.
• P5 Informativo: Esta presentación puede proporcionar información sospechosa, pero no concluyente si plantea algún riesgo.

Acciones prohibidas

Las siguientes acciones están prohibidas en virtud de esta norma. Digi International se reserva todos los derechos legales si realiza alguna de estas actividades prohibidas.

• Denegación de servicio (DoS) y denegación de servicio distribuida (DDoS)
  • Si se descubre una vulnerabilidad que permita realizar un ataque de tipo DoS o DDoS, envíe la información descubierta pero no realice el ataque.
  • Las pruebas DoS contra productos de Digi International propiedad exclusiva del investigador o cliente son aceptables si se realizan en una red propiedad y operada por un investigador o cliente.
• Informes de spam o solicitudes
• Informes sobre phishing, vishing y spear phishing
• Informes de ingeniería social
• Puertos abiertos sin una demostración o prueba de concepto de vulnerabilidad
• Hallazgos generados por herramientas automatizadas sin una explicación detallada sobre qué partes son vulnerables y cómo podría explotarse la vulnerabilidad