Ir al contenido
Prueba RSA Cloud Security Gratis

Comienza tu prueba de ID Plus ahora.

Empezar

Introducción

RSA se esfuerza por ayudar a nuestros clientes a minimizar el riesgo asociado con las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es proporcionar a los clientes información oportuna, orientación y opciones de mitigación para hacer frente a las vulnerabilidades. El Equipo de Respuesta a Incidentes de Seguridad de Productos de RSA (RSA PSIRT) está constituido y es responsable de coordinar la respuesta y divulgación de todas las vulnerabilidades de productos que se informan a RSA.

Cómo informar de una vulnerabilidad de seguridad

Si identifica una vulnerabilidad de seguridad en cualquier producto de RSA, infórmenos inmediatamente. Los investigadores de seguridad, grupos de la industria, vendedores y otros usuarios que no tienen acceso al Soporte Técnico deben enviar los reportes de vulnerabilidad directamente a RSA. PSIRT por correo electrónico. La identificación oportuna de las vulnerabilidades de seguridad es fundamental para mitigar los riesgos potenciales para nuestros clientes.

Los clientes y socios de productos de RSA deben contactar a su respectivo equipo de Soporte Técnico para reportar cualquier problema de seguridad descubierto en los productos de RSA. El equipo de Soporte Técnico, el equipo de producto correspondiente y el PSIRT de RSA trabajarán juntos para abordar el problema reportado y proporcionar a los clientes los próximos pasos.

Cuando notifique una posible vulnerabilidad, incluya la mayor cantidad posible de la siguiente información para ayudarnos a comprender mejor la naturaleza y el alcance del problema notificado:

  • Nombre del producto y versión que contiene la vulnerabilidad
  • Información sobre el entorno o el sistema en el que se reprodujo el problema (por ejemplo, número de modelo del producto, versión del sistema operativo, etc.).
  • Tipo y/o clase de vulnerabilidad (XSS, desbordamiento de búfer, RCE, CWE, etc.)
  • Instrucciones paso a paso para reproducir la vulnerabilidad
  • Prueba de concepto o código de explotación
  • Impacto potencial de la vulnerabilidad

Gestión de los informes de vulnerabilidad

RSA cree en el mantenimiento de una buena relación con los investigadores de seguridad y, con su consentimiento, puede reconocer al investigador por encontrar una vulnerabilidad válida en un producto e informar del problema en privado. A cambio, pedimos que los investigadores nos den la oportunidad de remediar la vulnerabilidad antes de divulgarla públicamente. RSA cree que coordinar la divulgación pública de una vulnerabilidad es clave para proteger a nuestros clientes.

Según esta política, toda la información divulgada sobre vulnerabilidades debe permanecer entre RSA y la parte informante -si la información no es ya de dominio público- hasta que se disponga de una solución y se coordinen las actividades de divulgación.

Corrección de vulnerabilidades

Tras investigar y validar una vulnerabilidad notificada, intentaremos desarrollar y cualificar la solución adecuada para los productos con soporte activo de RSA. Una solución puede tomar una o más de las siguientes formas:

  • Una nueva versión del producto afectado empaquetado por RSA;
  • Un parche proporcionado por RSA que puede instalarse sobre el producto afectado;
  • Instrucciones para descargar e instalar una actualización o parche de un proveedor externo necesario para mitigar la vulnerabilidad;
  • Procedimiento correctivo o solución publicada por RSA que indica a los usuarios cómo ajustar la configuración del producto para mitigar la vulnerabilidad.

RSA hace todo lo posible para proporcionar el remedio o la acción correctiva en el menor tiempo comercialmente razonable. Los plazos de respuesta dependen de muchos factores, como la gravedad, el impacto, la complejidad de la solución, el componente afectado (por ejemplo, algunas actualizaciones requieren ciclos de validación más largos o solo pueden actualizarse en una versión principal), la etapa del producto dentro de su ciclo de vida y el estado de las operaciones comerciales, entre otros.

Impacto y gravedad

RSA utiliza actualmente el Sistema común de puntuación de vulnerabilidades versión 3.1 (CVSS v3.1) para comunicar las características y la gravedad de las vulnerabilidades del software de RSA. Se tienen en cuenta muchos factores, incluido el nivel de esfuerzo necesario para explotar una vulnerabilidad, así como el impacto potencial en los datos o las actividades empresariales de una explotación exitosa.

El impacto global de un aviso de seguridad es una representación textual de la gravedad (es decir, crítica, alta, media y baja) que sigue la escala de clasificación cualitativa de gravedad CVSS para la puntuación base CVSS más alta de todas las vulnerabilidades identificadas. Cuando y donde sea aplicable, RSA proporcionará un impacto global para el aviso y para cada vulnerabilidad identificada la Puntuación Base CVSS v3.1 y el Vector CVSS v3.1 correspondiente. RSA recomienda que todos los clientes tengan en cuenta tanto la puntuación base como cualquier métrica temporal y/o ambiental que pueda ser relevante para su entorno para evaluar su riesgo general.

Remedio Comunicación

Normalmente, comunicamos las soluciones a los clientes a través de los avisos de seguridad de RSA, cuando procede. Para proteger a nuestros clientes, RSA se esfuerza por publicar un Aviso de Seguridad una vez que tenemos una solución para cualquier producto(s) afectado(s). RSA puede publicar Avisos de Seguridad antes para responder adecuadamente a divulgaciones públicas o vulnerabilidades ampliamente conocidas en los componentes utilizados dentro de nuestros productos.

Los avisos de seguridad pretenden proporcionar detalles suficientes para permitir a los clientes evaluar el impacto de las vulnerabilidades y remediar los productos potencialmente vulnerables. Los detalles completos pueden ser limitados para reducir la probabilidad de que usuarios malintencionados puedan aprovecharse de la información y explotarla en detrimento de nuestros clientes.

Los avisos de seguridad de RSA suelen incluir la siguiente información, según corresponda:

  • El impacto global, que es una representación textual de la gravedad (es decir, crítica, alta, media y baja) que sigue la escala cualitativa de calificación de la gravedad CVSS para la puntuación base CVSS más alta de todas las vulnerabilidades identificadas;
  • Productos y versiones afectados;
  • La puntuación base CVSS y el vector para todas las vulnerabilidades identificadas;
  • Enumeración de vulnerabilidades comunes (CVE) para todas las vulnerabilidades identificadas, de modo que la información de cada vulnerabilidad única pueda compartirse entre diversas capacidades de gestión de vulnerabilidades (por ejemplo, herramientas como escáneres de vulnerabilidades, repositorios y servicios);
  • Breve descripción de la vulnerabilidad y del impacto potencial si se explota;
  • Detalles de la solución con información sobre actualizaciones y soluciones;
  • Agradecimiento al descubridor por informar de la vulnerabilidad y trabajar con RSA en una publicación coordinada, según proceda.

Información adicional

La política de RSA es no proporcionar información sobre las vulnerabilidades específicas más allá de lo que se proporciona en el aviso de seguridad y la documentación relacionada, como notas de la versión, artículos de la base de conocimientos, preguntas frecuentes, etc. No distribuimos código de explotación/prueba de concepto para vulnerabilidades identificadas. De acuerdo con las prácticas del sector, RSA no comparte los resultados de sus pruebas de seguridad internas u otros tipos de actividades de seguridad con entidades externas..

Notificación a RSA de otros problemas de seguridad

Si necesita informar de cualquier otro problema de seguridad a RSA, utilice los contactos apropiados que se indican a continuación:

Cuestión de seguridad Información de contacto
Para informar de una vulnerabilidad o problema de seguridad en RSA.com u otro servicio en línea, aplicación web o propiedad Presente un informe en responsibledisclosure@rsa.com con instrucciones paso a paso para reproducir el problema.
Para enviar solicitudes o preguntas relacionadas con la privacidad Véase RSA Privacidad página.

 

Derechos del cliente: Garantías, asistencia y mantenimiento

Los derechos de los clientes de RSA en relación con las garantías y el soporte y mantenimiento -incluidas las vulnerabilidades de cualquier producto de software de RSA- se rigen por el acuerdo aplicable entre RSA y el cliente individual. Las declaraciones de esta página web no modifican, amplían ni enmiendan de otro modo ningún derecho del cliente ni crean ninguna garantía adicional.

Descargo de responsabilidad

Todos los aspectos de la Política de Respuesta a Vulnerabilidades de RSA están sujetos a cambios sin previo aviso y en función de cada caso. No se garantiza la respuesta para ningún problema o clase de problemas específicos. El uso que usted haga de la información contenida en este documento o de los materiales vinculados al mismo corre por su cuenta y riesgo. RSA se reserva el derecho a modificar o actualizar este documento a su entera discreción y sin previo aviso en cualquier momento.