Proceso para Reportar Vulnerabilidades
Cuando Pentraze identifica un problema de seguridad en el producto o servicio de un proveedor externo, se toman los siguientes pasos:
- Contacto Inicial con el Proveedor (Día 0)
- - Contactar al proveedor para informarle sobre la vulnerabilidad.
- - Asignar un CVE ID si el proveedor no es un CNA registrado.
- - Registrar el nombre del proveedor y la fecha del reporte en la plataforma de seguimiento de vulnerabilidades de Pentraze.
- Comunicación de Seguimiento (Día 7)
- - Enviar una segunda notificación si no hay confirmación del proveedor.
- - Notificación de Divulgación Inminente (Día 45).
- - Enviar un recordatorio de cortesía al proveedor, incluyendo la fecha planeada de publicación del reporte.
- Recordatorio Final (Día 60)
- - Enviar un último recordatorio si el proveedor permanece sin respuesta o la comunicación cesa.
- Divulgación (Día 90)
- Publicar un reporte completo en el sitio web de seguimiento de vulnerabilidades de Pentraze.
- En casos donde el proveedor publique un parche o mitigación antes del Día 90, el reporte será publicado inmediatamente después de la publicación del proveedor.
- Solicitar la publicación del CVE a MITRE.