RSA se esfuerza por ayudar a nuestros clientes a minimizar el riesgo asociado con las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es proporcionar a los clientes informaci\u00f3n oportuna, orientaci\u00f3n y opciones de mitigaci\u00f3n para hacer frente a las vulnerabilidades. El Equipo de Respuesta a Incidentes de Seguridad de Productos de RSA (RSA PSIRT) est\u00e1 constituido y es responsable de coordinar la respuesta y divulgaci\u00f3n de todas las vulnerabilidades de productos que se informan a RSA.<\/p>\n
Si identifica una vulnerabilidad de seguridad en cualquier producto de RSA, inf\u00f3rmenos inmediatamente. Los investigadores de seguridad, grupos de la industria, vendedores y otros usuarios que no tienen acceso al Soporte T\u00e9cnico deben enviar los reportes de vulnerabilidad directamente a RSA.\u00a0PSIRT por correo electr\u00f3nico<\/a>. La identificaci\u00f3n oportuna de las vulnerabilidades de seguridad es fundamental para mitigar los riesgos potenciales para nuestros clientes.<\/p>\n Los clientes y socios de productos de RSA deben contactar a su respectivo equipo de Soporte T\u00e9cnico para reportar cualquier problema de seguridad descubierto en los productos de RSA. El equipo de Soporte T\u00e9cnico, el equipo de producto correspondiente y el PSIRT de RSA trabajar\u00e1n juntos para abordar el problema reportado y proporcionar a los clientes los pr\u00f3ximos pasos.<\/p>\n Cuando notifique una posible vulnerabilidad, incluya la mayor cantidad posible de la siguiente informaci\u00f3n para ayudarnos a comprender mejor la naturaleza y el alcance del problema notificado:<\/p>\n RSA cree en el mantenimiento de una buena relaci\u00f3n con los investigadores de seguridad y, con su consentimiento, puede reconocer al investigador por encontrar una vulnerabilidad v\u00e1lida en un producto e informar del problema en privado. A cambio, pedimos que los investigadores nos den la oportunidad de remediar la vulnerabilidad antes de divulgarla p\u00fablicamente. RSA cree que coordinar la divulgaci\u00f3n p\u00fablica de una vulnerabilidad es clave para proteger a nuestros clientes.<\/p>\n Seg\u00fan esta pol\u00edtica, toda la informaci\u00f3n divulgada sobre vulnerabilidades debe permanecer entre RSA y la parte informante -si la informaci\u00f3n no es ya de dominio p\u00fablico- hasta que se disponga de una soluci\u00f3n y se coordinen las actividades de divulgaci\u00f3n.<\/p>\n Tras investigar y validar una vulnerabilidad notificada, intentaremos desarrollar y cualificar la soluci\u00f3n adecuada para los productos con soporte activo de RSA. Una soluci\u00f3n puede tomar una o m\u00e1s de las siguientes formas:<\/p>\n RSA hace todo lo posible para proporcionar el remedio o la acci\u00f3n correctiva en el menor tiempo comercialmente razonable. Los plazos de respuesta dependen de muchos factores, como la gravedad, el impacto, la complejidad de la soluci\u00f3n, el componente afectado (por ejemplo, algunas actualizaciones requieren ciclos de validaci\u00f3n m\u00e1s largos o solo pueden actualizarse en una versi\u00f3n principal), la etapa del producto dentro de su ciclo de vida y el estado de las operaciones comerciales, entre otros.<\/p>\n RSA utiliza actualmente el\u00a0Sistema com\u00fan de puntuaci\u00f3n de vulnerabilidades<\/a>\u00a0versi\u00f3n 3.1 (CVSS v3.1) para comunicar las caracter\u00edsticas y la gravedad de las vulnerabilidades del software de RSA. Se tienen en cuenta muchos factores, incluido el nivel de esfuerzo necesario para explotar una vulnerabilidad, as\u00ed como el impacto potencial en los datos o las actividades empresariales de una explotaci\u00f3n exitosa.<\/p>\n El impacto global de un aviso de seguridad es una representaci\u00f3n textual de la gravedad (es decir, cr\u00edtica, alta, media y baja) que sigue la escala de clasificaci\u00f3n cualitativa de gravedad CVSS para la puntuaci\u00f3n base CVSS m\u00e1s alta de todas las vulnerabilidades identificadas. Cuando y donde sea aplicable, RSA proporcionar\u00e1 un impacto global para el aviso y para cada vulnerabilidad identificada la Puntuaci\u00f3n Base CVSS v3.1 y el Vector CVSS v3.1 correspondiente. RSA recomienda que todos los clientes tengan en cuenta tanto la puntuaci\u00f3n base como cualquier m\u00e9trica temporal y\/o ambiental que pueda ser relevante para su entorno para evaluar su riesgo general.<\/p>\n Normalmente, comunicamos las soluciones a los clientes a trav\u00e9s de los avisos de seguridad de RSA, cuando procede. Para proteger a nuestros clientes, RSA se esfuerza por publicar un Aviso de Seguridad una vez que tenemos una soluci\u00f3n para cualquier producto(s) afectado(s). RSA puede publicar Avisos de Seguridad antes para responder adecuadamente a divulgaciones p\u00fablicas o vulnerabilidades ampliamente conocidas en los componentes utilizados dentro de nuestros productos.<\/p>\n Los avisos de seguridad pretenden proporcionar detalles suficientes para permitir a los clientes evaluar el impacto de las vulnerabilidades y remediar los productos potencialmente vulnerables. Los detalles completos pueden ser limitados para reducir la probabilidad de que usuarios malintencionados puedan aprovecharse de la informaci\u00f3n y explotarla en detrimento de nuestros clientes.<\/p>\n Los avisos de seguridad de RSA suelen incluir la siguiente informaci\u00f3n, seg\u00fan corresponda:<\/p>\n La pol\u00edtica de RSA es no proporcionar informaci\u00f3n sobre las vulnerabilidades espec\u00edficas m\u00e1s all\u00e1 de lo que se proporciona en el aviso de seguridad y la documentaci\u00f3n relacionada, como notas de la versi\u00f3n, art\u00edculos de la base de conocimientos, preguntas frecuentes, etc. No distribuimos c\u00f3digo de explotaci\u00f3n\/prueba de concepto para vulnerabilidades identificadas. De acuerdo con las pr\u00e1cticas del sector, RSA no comparte los resultados de sus pruebas de seguridad internas u otros tipos de actividades de seguridad con entidades externas..<\/a><\/p>\n Si necesita informar de cualquier otro problema de seguridad a RSA, utilice los contactos apropiados que se indican a continuaci\u00f3n:<\/p>\n\n
Gesti\u00f3n de los informes de vulnerabilidad<\/h3>\n
Correcci\u00f3n de vulnerabilidades<\/h3>\n
\n
Impacto y gravedad<\/h3>\n
Remedio Comunicaci\u00f3n<\/h3>\n
\n
Informaci\u00f3n adicional<\/h3>\n
Notificaci\u00f3n a RSA de otros problemas de seguridad<\/h3>\n