Las brechas de seguridad en el software son prácticamente inevitables. Por ello, es importante que informemos a tiempo a usuarios y administradores sobre estas brechas a fin de que puedan implementar las contramedidas pertinentes y así evitar fallos. Para un funcionamiento eficaz es importante implantar en la empresa una gestión adecuada que incluya un equipo de respuesta ante incidentes de seguridad de productos (PSIRT, por sus siglas en inglés).
Security Incident Management
¿Por qué es necesario el Incident Management?
¿Qué es un Security Advisory?
Un Security-Advisory se encarga de informar sobre las posibles brechas de seguridad en nuestros productos y se compone generalmente de:
- la descripción de la deficiencia,
- una estimación de la criticidad de la deficiencia en forma de puntuación CVSS*,
- la lista de los productos afectados y la versión,
- posibles contramedidas y, en su caso, agradecimientos a quienes nos han informado sobre la deficiencia.
*El CVSS (Common Vulnerability Scoring System) es un procedimiento estándar reconocido internacionalmente para evaluar la criticidad de una deficiencia. Actualmente se está utilizando el CVSS versión 3.0. El CVSSv3 define una puntuación (Score) de 0 a 10. 0 representa la criticidad más baja y 10 la más alta.
Aquí encontrará los Security Advisories actuales.
El Pilz Product Security Incident Response Team (PSIRT)
Los expertos en Security del PSIRT de Pilz analizan, evalúan y procesan posibles deficiencias de seguridad y casos protección (Security) relacionados con productos y soluciones de Pilz. En caso de confirmarse una deficiencia, el PSIRT de Pilz publica Security Advisories con indicaciones relativas a la subsanación de la deficiencia.
Queremos animar a expertos en seguridad, investigadores independientes, clientes y otros actores a notificarnos cualquier problema con la seguridad de nuestros productos y soluciones. Solo así podremos discutir y acordar conjuntamente las actividades futuras y mejorar la protección (Security) de nuestros productos y soluciones. A fin de no comprometer a nuestros clientes y terceros, rogamos coordinar la publicación de las deficiencias haciendo partícipe a nuestro PSIRT.
Cómo contactar con el Pilz PSIRT:
Los especialistas en Security del PSIRT de Pilz procesan y evalúan todos los avisos sobre posibles brechas de seguridad en los productos Pilz. Para preguntas sobre protección (Security) relativas a nuestros productos o nuestra infraestructura o si desea notificar brechas de seguridad, rogamos contactar con nuestros expertos en protección del PSIRT. Las notificaciones al PSIRT deberán realizarse en alemán o inglés. Normalmente se obtendrá una respuesta en un plazo de dos días hábiles (CET).
Rogamos notificar cualquier problema de Protección (Security) de nuestros productos, soluciones y servicios online a:
Incluir en el mensaje la información siguiente:
- Referencia del producto en cuestión
- Hardware y firmware del dispositivo (si existe)
- En su caso, Exploit y otros datos que puedan ayudarnos a corregir el problema
- Indicación de si la vulnerabilidad ha sido publicada anteriormente (por usted o un tercero)
El proceso Pilz Incident Management
1. Analizar: nuestro PSIRT examina la deficiencia notificada y solicitará información adicional al autor si es preciso. Tenga en cuenta que el análisis puede durar desde unos días hasta semanas, según la complejidad de la deficiencia. En cualquier caso, el informador recibirá la primera respuesta en un plazo máximo de 15 días hábiles.
2. Definir medidas: dependiendo de la gravedad de la deficiencia y de otras condiciones marco, se elaborarán las actualizaciones pertinentes. Si la deficiencia es grave, Pilz elaborará un Security Advisory. El remitente será informado periódicamente sobre el estado del proceso.
3. Publicar: el Security Advisory completado y los eventuales parches se publicarán en este sitio y pueden ser descargados por nuestros clientes. Para la descarga deberá iniciar sesión con su nombre de usuario. Si no dispone todavía de perfil, puede registrarse aquí gratuitamente. Dependiendo de la gravedad de la deficiencia, es posible que los parches correspondientes se publiquen solo junto con los release periódicos específicos del producto.
Más sobre protección industrial (Industrial Security)
Sede central
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemania
Teléfono: +49 711 3409-0
Correo-e: pilz.gmbh@pilz.de
Asistencia técnica
Teléfono: +49 711 3409 444
Correo-e: support@pilz.com
América
- México: +52 55 5572 1300
- Brasil: + 55 11 4942-7032
- Estados Unidos de América (gratuito): +1 877-PILZUSA (745-9872)
- Canadá: +1 888-315-PILZ (315-7459)
Europa
- Irlanda: +353 21 4804983
- Austria: +43 1 7986263-444
- Finlandia: +358 10 3224030 / +45 74436332
- Italia: +39 0362 1826711
- Rusia: +7 495 6654993
- España: +34 938497433
- Dinamarca: +45 74436332
- Suiza: +41 62 889 79 32
- Alemania: +49 711 3409 444
- Bélgica: +32 9 321 75 70
- Turquía: +90 216 5775552
- Países Bajos: +31 347 320477
- Francia (gratuito): +33 3 88104000
- Suecia: +46 300 13990 / +45 74436332
- Portugal: +351 229 407 594
- Reino Unido de Gran Bretaña e Irlanda del Norte: +44 1536 460866
Pacífico asiático
- Corea del Sur: +82 31 778 3390
- Nueva Zelanda: +64 9 6345350
- Japón: +81 45 471 2281
- Taiwán: +886 2 25700068
- Singapur: +65 6829 2920
- Tailandia: +66 210 54613
- China: +86 400-088-3566
- Australia (gratuito): +61 3 9560 0621 / 1300 723 334