Política de divulgación de vulnerabilidades

Introducción

En Ivanti, nos dedicamos a garantizar la seguridad e integridad de nuestros productos de software empresarial. Reconocemos el papel vital que desempeñan los investigadores de seguridad, los hackers éticos y la comunidad de seguridad en el sentido más amplio a la hora de identificar y notificar vulnerabilidades. En esta Política de divulgación de vulnerabilidades se describe nuestro compromiso de trabajar en colaboración con investigadores de seguridad para mejorar la seguridad de nuestro software. En ella se describen los pasos para notificar vulnerabilidades, qué esperamos y qué puede esperar de nosotros.

Si encuentra algún problema relacionado con la seguridad que involucre productos o soluciones de Ivanti, incluidos aquellos relacionados con productos de compañías adquiridas por Ivanti (como Pulse Secure, Cherwell y MobileIron), o si descubre algún problema de seguridad relacionado con la infraestructura de Ivanti, le animamos a notificárnoslos a través de uno de los canales descritos en 'Canales de notificación'. Su vigilante mirada y sus contribuciones son fundamentales para salvaguardar la seguridad de nuestros productos y mantener la integridad de nuestra infraestructura. Valoramos su compromiso para mejorar los esfuerzos de Ivanti en materia de seguridad. Gracias por aliarse a nosotros en esta importante tarea.

Alcance

Qué abarca

La Política de divulgación de vulnerabilidades se aplica a cualquier activo digital que Ivanti posea, opere o mantenga, incluidos los productos y servicios de Ivanti y la infraestructura de TI y OT de Ivanti (incluidos sus sistemas y redes).

Qué no abarca

Los siguientes tipos de ataques no se consideran parte de nuestro Programa de divulgación de vulnerabilidades:

  • Ataques de denegación de servicio, incluyendo ataques de agotamiento de recursos, «exploits» que causen denegación de servicio, o cualquier forma de «pruebas de resistencia» contra Ivanti Corporate o Ivanti Hosted Solutions que puedan llevar a la interrupción de los servicios.
  • Pruebas físicas de las oficinas de Ivanti, centros de datos, instalaciones de alojamiento, etc.
  • Ingeniería social de nuestros empleados, clientes, socios, etc.
  • Cualquier ataque o evento contra un producto o solución de Ivanti alojado por un cliente en su propia red sin consentimiento previo para realizar pruebas.
  • Resultados de escáneres automatizados

Recompensas por vulnerabilidades

Además de este Programa de divulgación de vulnerabilidades, Ivanti opera un programa especializado de recompensas por errores en HackerOne para productos Ivanti seleccionados. Este programa exclusivo es solo por invitación y otorga a los investigadores de seguridad acceso a entornos dedicados que alojan los productos Ivanti.

Si su notificación de vulnerabilidades afecta a un producto dentro del alcance del programa de recompensas por errores de Ivanti, su notificación se trasladará al programa de recompensas por errores de Ivanti y es posible que reciba una recompensa.  Visite https://hackerone. com/ivanti para obtener más información.

Ivanti se reserva el derecho exclusivo a evaluar y calificar los envíos para obtener recompensas según su exclusivo criterio.

Canales de notificación

Si ha descubierto una vulnerabilidad de seguridad en cualquier producto o servicio de software empresarial de Ivanti, le recomendamos que nos lo notifique de manera responsable y coordinada a través de una de estas formas:

1. Formulario de envío de notificaciones de vulnerabilidades fácil de usar.

2. Envíe un correo electrónico a [email protected]. En su notificación, incluya la siguiente información:

  1. Una descripción detallada de la vulnerabilidad.
  2. Prueba de concepto [PdC], si procede.
  3. Los pasos para reproducir la vulnerabilidad.
  4. Información sobre el producto o servicio afectados y su versión.
  5. Sus datos de contacto, incluidos su nombre, dirección de correo electrónico, y cualquier dato de contacto adicional.

Si desea encriptar la comunicación, utilice nuestra clave PGP aquí (Huella digital: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D).

3. Para consultas generales de seguridad, escriba a [email protected].

Procedimiento de gestión de las notificaciones de vulnerabilidades

  • En respuesta a su notificación, nuestro socio del programa de divulgación de vulnerabilidades/recompensas por errores, HackerOne, le responderá con prontitud y trabajará con usted para comprender y validar su notificación.
  • Nuestro equipo de seguridad trabajará para validar la vulnerabilidad en un plazo de diez días laborales después de haberla recibido.
  • Una vez confirmada la vulnerabilidad, Ivanti dará prioridad a su resolución en función de su gravedad. Proporcionaremos actualizaciones periódicas a la persona que notificó la vulnerabilidad sobre el estado del proceso de subsanación.
  • Nos comprometemos a abordar y mitigar la vulnerabilidad notificada de buena fe. Puede que pidamos información o asistencia a la persona que notificó la vulnerabilidad, según sea necesario.
  • Cuando lo estime oportuno, Ivanti puede aprobar y poner a su disposición más procedimientos específicos para gestionar determinados tipos de vulnerabilidades de seguridad. Esos procedimientos adicionales son extensiones de este Programa de divulgación de vulnerabilidades.

Códigos de conducta

  • Respete las reglas, incluido el cumplimiento de esta política y cualquier otro acuerdo pertinente. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política. 
  • Notifique enseguida cualquier vulnerabilidad que haya descubierto. 
  • Evite infringir la privacidad de otras personas, interrumpir nuestros sistemas, destruir datos o perjudicar la experiencia del usuario. 
  • Utilice los 'Canales oficiales' para tratar cualquier información sobre vulnerabilidades con nosotros. 
  • Denos un tiempo razonable (al menos 120 días desde la notificación inicial) para resolver el problema antes de hacerlo público. 
  • Si una vulnerabilidad proporciona acceso no intencionado a datos: limite la cantidad de datos a los que accede al mínimo requerido para demostrar de manera efectiva una Prueba de concepto; y deje de realizar pruebas y envíe una notificación de inmediato si encuentra algún dato de usuario durante la prueba, como información de identificación personal (PII), información personal de atención médica (PHI), datos de tarjetas de crédito o información de propiedad exclusiva. 
  • Solo debe interactuar con las cuentas de pruebas que posea o si tiene un permiso explícito del titular de la cuenta;  
  • No participe en actividades de extorsión. 

Un puerto seguro y legal

Para fomentar la investigación y la divulgación responsable de las vulnerabilidades de seguridad, Ivanti no emprenderá acciones legales contra los investigadores de seguridad que hagan un esfuerzo de buena fe para cumplir y notificar las vulnerabilidades de seguridad de acuerdo con este Programa de divulgación de vulnerabilidades.

Comprenda que si su investigación de seguridad involucra redes, sistemas, información, aplicaciones, productos o servicios de un tercero (que no seamos nosotros), no podemos vincular a ese tercero y este puede emprender acciones legales o notificárselo a las autoridades. No podemos ni autorizamos investigaciones de seguridad en nombre de otras entidades, y no podemos de ninguna manera ofrecerle defenderlo, indemnizarlo o protegerlo de cualquier otra manera de ninguna acción de terceros basada en sus acciones.

Como siempre, se espera que cumpla con todas las leyes que resulten aplicables en su caso y que no altere ni comprometa ningún dato más allá de lo que permite nuestro Programa de divulgación de vulnerabilidades.

Antes de realizar ninguna conducta que pueda ir en contra de esta política o no cubierta en ella, póngase en contacto con nosotros. Nos reservamos el derecho exclusivo a determinar si ha hecho un esfuerzo de buena fe para cumplir y notificar las vulnerabilidades de seguridad de acuerdo con este Programa de divulgación de vulnerabilidades, y el contacto proactivo con nosotros antes de emprender cualquier acción es un factor importante en esa decisión. En caso de duda, ¡pregúntenos primero!

Formulario de envío de notificaciones de vulnerabilidades

A continuación encontrará nuestro our Formulario de envío de notificaciones de vulnerabilidades (proporcionado por HackerOne). Para poder utilizar el formulario, debe aceptar las cookies de terceros haciendo clic en «Activar cookies». También puede encontrar el formulario aquí.

Versión 2.0 (marzo de 2024). La Política de divulgación de vulnerabilidades también está disponible para su descarga.