Security Incident Management

Las brechas de seguridad en el software son prácticamente inevitables. Por ello, es importante que informemos a tiempo a usuarios y administradores sobre estas brechas a fin de que puedan implementar las contramedidas pertinentes y así evitar fallos. Para un funcionamiento eficaz es importante implantar en la empresa una gestión adecuada que incluya un equipo de respuesta ante incidentes de seguridad de productos (PSIRT, por sus siglas en inglés).

Un Security-Advisory se encarga de informar sobre las posibles brechas de seguridad en nuestros productos y se compone generalmente de:

• la descripción de la deficiencia,
• una estimación de la criticidad de la deficiencia en forma de puntuación CVSS*,
• la lista de los productos afectados y la versión,
• posibles contramedidas y, en su caso, agradecimientos a quienes nos han informado sobre la deficiencia.

*El CVSS (Common Vulnerability Scoring System) es un procedimiento estándar reconocido internacionalmente para evaluar la criticidad de una deficiencia. Actualmente se está utilizando el CVSS versión 3.0. El CVSSv3 define una puntuación (Score) de 0 a 10. 0 representa la criticidad más baja y 10 la más alta.

Aquí encontrará los Security Advisories actuales.

Security Advisories

Los expertos en Security del PSIRT de Pilz analizan, evalúan y procesan posibles deficiencias de seguridad y casos protección (Security) relacionados con productos y soluciones de Pilz. En caso de confirmarse una deficiencia, el PSIRT de Pilz publica Security Advisories con indicaciones relativas a la subsanación de la deficiencia.

Queremos animar a expertos en seguridad, investigadores independientes, clientes y otros actores a notificarnos cualquier problema con la seguridad de nuestros productos y soluciones. Solo así podremos discutir y acordar conjuntamente las actividades futuras y mejorar la protección (Security) de nuestros productos y soluciones. A fin de no comprometer a nuestros clientes y terceros, rogamos coordinar la publicación de las deficiencias haciendo partícipe a nuestro PSIRT.

Los especialistas en Security del PSIRT de Pilz procesan y evalúan todos los avisos sobre posibles brechas de seguridad en los productos Pilz. Para preguntas sobre protección (Security) relativas a nuestros productos o nuestra infraestructura o si desea notificar brechas de seguridad, rogamos contactar con nuestros expertos en protección del PSIRT. Las notificaciones al PSIRT deberán realizarse en alemán o inglés. Normalmente se obtendrá una respuesta en un plazo de dos días hábiles (CET).

Rogamos notificar cualquier problema de Protección (Security) de nuestros productos, soluciones y servicios online a:

Contacto PSIRT

Incluir en el mensaje la información siguiente:

• Referencia del producto en cuestión
• Hardware y firmware del dispositivo (si existe)
• En su caso, Exploit y otros datos que puedan ayudarnos a corregir el problema
• Indicación de si la vulnerabilidad ha sido publicada anteriormente (por usted o un tercero)

1. Analizar: nuestro PSIRT examina la deficiencia notificada y solicitará información adicional al autor si es preciso. Tenga en cuenta que el análisis puede durar desde unos días hasta semanas, según la complejidad de la deficiencia. En cualquier caso, el informador recibirá la primera respuesta en un plazo máximo de 15 días hábiles.

2. Definir medidas: dependiendo de la gravedad de la deficiencia y de otras condiciones marco, se elaborarán las actualizaciones pertinentes. Si la deficiencia es grave, Pilz elaborará un Security Advisory. El remitente será informado periódicamente sobre el estado del proceso.

3. Publicar: el Security Advisory completado y los eventuales parches se publicarán en este sitio y pueden ser descargados por nuestros clientes. Para la descarga deberá iniciar sesión con su nombre de usuario. Si no dispone todavía de perfil, puede registrarse aquí gratuitamente. Dependiendo de la gravedad de la deficiencia, es posible que los parches correspondientes se publiquen solo junto con los release periódicos específicos del producto.

Security Advisories