Contáctanos
English
Contáctanos

Política de Divulgación de Vulnerabilidades

Política de Divulgación de Vulnerabilidades

Última Actualización: 22 de noviembre de 2023

Descripción

Pentraze Cybersecurity (de ahora en adelante “Pentraze”) se dedica a identificar y reportar de manera responsable las vulnerabilidades de seguridad en productos y servicios que no son propiedad ni están gestionados por Pentraze. Este documento describe nuestro procedimiento para reportar dichas vulnerabilidades.

Declaración de Política

Esta política proporciona un procedimiento estandarizado para reportar vulnerabilidades a proveedores que no son de Pentraze, asegurando transparencia y equidad en todas nuestras comunicaciones.

Proceso para Reportar Vulnerabilidades

Cuando Pentraze identifica un problema de seguridad en un producto o servicio de un proveedor tercero, se toman los siguientes pasos:

  • Contacto Inicial con el Proveedor (Día 0)
    • Contactar al proveedor para informarle de la vulnerabilidad.
    • Asignar un ID de CVE si el proveedor no está registrado como CNA.
    • Registrar el nombre del proveedor y la fecha del reporte en la plataforma de seguimiento de vulnerabilidades de Pentraze.
  • Comunicación de Seguimiento (Día 7)
    • Enviar una segunda notificación si no hay acuse de recibo por parte del proveedor.
    • Notificación de Divulgación Inminente (Día 45).
    • Enviar un recordatorio de cortesía al proveedor, incluyendo la fecha planificada de liberación del informe.
  • Recordatorio Final (Día 60)
    • Enviar un último recordatorio si el proveedor sigue sin responder o la comunicación se detiene.
  • Divulgación (Día 90)
    • Publicar un informe completo en el sitio web de seguimiento de vulnerabilidades de Pentraze.
    • En casos donde el proveedor libere un parche o mitigación antes del Día 90, el informe será publicado inmediatamente después de la liberación del proveedor.
    • Solicitar la publicación del CVE de MITRE.

Divulgación Coordinada

Pentraze está comprometido a trabajar con los proveedores para ajustar el cronograma si están desarrollando activamente un parche o solución de mitigación. El período de 90 días puede extenderse bajo circunstancias especiales para acomodar el desarrollo de soluciones efectivas.

Contacto para Reportar Vulnerabilidades

Servicios

Pruebas de Penetración

Evaluación proactiva utilizando tácticas, técnicas y procedimientos de atacantes reales para identificar fallas de seguridad, configuraciones incorrectas y vulnerabilidades.

Más información

Seguridad de Aplicaciones

Protección integral de aplicaciones, garantizando la seguridad en todas las fases del desarrollo.

Más información

Ejercicios de Red Team

Simulación avanzada de ataques cibernéticos para evaluar y mejorar la capacidad de respuesta de una organización.

Más información

Gestión de Vulnerabilidades

Proceso proactivo para identificar, priorizar y abordar las vulnerabilidades de seguridad en sistemas y software, mejorando la defensa de una organización contra las amenazas cibernéticas en evolución.

Más información