Política de Divulgación de Vulnerabilidades

Introducción

En Ivanti, nos dedicamos a garantizar la seguridad e integridad de nuestros productos de software empresarial. Reconocemos el papel vital que desempeñan los investigadores de seguridad, los hackers éticos y la amplia comunidad de seguridad al identificar y reportar vulnerabilidades. Esta Política de Divulgación de Vulnerabilidades describe nuestro compromiso de trabajar en colaboración con investigadores de seguridad para mejorar la seguridad de nuestro software. Describe los pasos para notificar vulnerabilidades, lo que esperamos y lo que puedes esperar de nosotros.

Si encuentras algún problema relacionado con la seguridad en productos o soluciones de Ivanti, incluidos aquellos relacionados con productos de compañías adquiridas por Ivanti (como Pulse Secure, Cherwell y MobileIron), o si descubre algún problema de seguridad relacionado con la infraestructura de Ivanti, te recomendamos notificárnoslos a través de uno de los canales descritos en 'Canales de notificación'. Tu supervisión y contribuciones resultan fundamentales para salvaguardar la seguridad de nuestros productos y mantener la integridad de nuestra infraestructura. Agradecemos tu compromiso para mejorar nuestros esfuerzos en materia de seguridad. Gracias por colaborar con nosotros en esta importante iniciativa.

Alcance

¿Qué abarca?

La Política de divulgación de vulnerabilidades se aplica a cualquier activo digital sea propiedad, operado o mantenido por Ivant, incluidos los productos, servicios y la infraestructura de TI y OT de Ivanti (incluyendo sus sistemas y redes).

¿Qué no abarca?

Los siguientes tipos de ataques no se consideran parte de nuestro Programa de Divulgación de Vulnerabilidades:

  •  Ataques de Denegación de Servicio (DoS), incluyendo ataques de agotamiento de recursos, exploits que causen denegación de servicio, o cualquier forma de «prueba de resistencia» contra Ivanti Corporate o Ivanti Hosted Solutions que puedan llevar a una interrupción de los servicios.
  • Pruebas físicas de las Oficinas de Ivanti, Centros de Datos, instalaciones de Colocación, etc.
  • Ingeniería social de nuestros empleados, clientes, socios, etc.
  • Cualquier ataque o evento contra un producto o solución de Ivanti alojados por un cliente en su propia red, sin aprobación previa para realizar pruebas.
  • Resultados de escáneres automatizados.

Recompensas por Vulnerabilidades

Además de este Programa de Divulgación de Vulnerabilidades, Ivanti opera un programa especializado de recompensas por errores en HackerOne para productos seleccionados de Ivanti. Este programa exclusivo es solo por invitación y otorga a los investigadores de seguridad acceso a entornos dedicados que alojan los productos Ivanti.

Si tu reporte de vulnerabilidades afecta a un producto dentro del alcance del programa de bug-bounty de Ivanti, será transferido al programa de recompensas por errores de Ivanti y es también posible que seas recompensado. Para más detalles., visita https://hackerone. com/ivanti.

Ivanti se reserva el derecho exclusivo a evaluar y calificar los envíos para obtener recompensas a su entera discreción.

Canales de notificación

Si has descubierto una vulnerabilidad de seguridad en cualquier producto o servicio de software empresarial de Ivanti, te animamos a que nos notifiques de manera responsable y coordinada a través de uno de estos canales:

1. Formulario de envío de notificaciones de vulnerabilidades fácil de usar.

2. Envía un correo electrónico a [email protected], incluyendo la siguiente información:

  1. Una descripción detallada de la vulnerabilidad.
  2. Prueba de Concepto [PdC], si procede.
  3. Los pasos para reproducir la vulnerabilidad.
  4. Información sobre el producto o servicio afectados y su versión.
  5. Tus datos de contacto, incluidos tu nombre, dirección de correo electrónico y cualquier dato de contacto adicional.

Si desea encriptar la comunicación, utiliza nuestra clave PGP aquí (Huella digital: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D).

3. Para consultas generales de seguridad, escribe a [email protected].

Procedimiento de gestión de las notificaciones de vulnerabilidades

  • En respuesta a tu notificación, nuestro socio del Programa de Divulgación de Vulnerabilidades/bug-bounty HackerOne, te responderá con prontitud y trabajará contigo, para comprender y validar tu notificación.
  • Nuestro equipo de seguridad trabajará para validar la vulnerabilidad en un plazo de diez días laborales.
  • Una vez confirmada la vulnerabilidad, Ivanti priorizará su resolución en función de la gravedad. Proporcionaremos actualizaciones periódicas al informante sobre el estado del proceso de corrección.
  • Ivanti reservará y publicará CVE(s) para vulnerabilidades con puntuación CVSS de 4.0 y superior, calculada y validada por el proceso de evaluación interno de Ivanti.
  • Nos comprometemos a abordar y mitigar la vulnerabilidad informada de buena fe. Podemos solicitar información o asistencia del informante según necesidad.
  • Ivanti puede, ocasionalmente, aprobar y poner a tu disposición más procedimientos específicos para gestionar ciertos tipos de vulnerabilidades de seguridad. Esos procedimientos adicionales son extensiones de este Programa de Divulgación de Vulnerabilidades.

Códigos de conducta

  • Respeta las reglas, incluido el cumplimiento de esta política y cualquier otro acuerdo pertinente. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política. 
  • Comunica lo antes posible cualquier vulnerabilidad que hayas encontrado.
  • Evita infringir la privacidad de otras personas, interrumpir nuestros sistemas, destruir datos o perjudicar la experiencia del usuario. 
  • Utiliza los 'Canales oficiales' para discutir con nosotros cualquier información sobre vulnerabilidades. 
  • Facilítanos un tiempo razonable (al menos 120 días desde la notificación inicial) para resolver el problema antes de divulgarlo públicamente
  • Si una vulnerabilidad proporciona acceso no intencionado a datos: limita la cantidad de datos a los que accedes al mínimo requerido, para demostrar de manera efectiva una Prueba de Concepto; y deja de realizar pruebas y envía una notificación de inmediato si encuentras algún dato de usuario durante la prueba, como información de identificación personal (PII), información personal de atención médica (PHI), datos de tarjetas de crédito o información de propiedad exclusiva. 
  • Solo debes interactuar con las cuentas de pruebas que poseas o si tienes un permiso explícito del titular de la cuenta;  
  • No participes en actividades de extorsión. 

Puerto Seguro

Para fomentar la investigación y la divulgación responsable de las vulnerabilidades de seguridad, Ivanti no emprenderá acciones legales contra los investigadores de seguridad que hagan un esfuerzo de buena fe para cumplir y notificar las vulnerabilidades de seguridad de acuerdo con este Programa de divulgación de vulnerabilidades.

Ten en cuenta que si tu investigación de seguridad involucra redes, sistemas, información, aplicaciones, productos o servicios de un tercero (que no seamos nosotros), no podemos vincular a ese tercero y este puede emprender acciones legales o notificárselo a las autoridades. No podemos ni autorizamos investigaciones de seguridad en nombre de otras entidades, y no podemos de ninguna manera ofrecer defenderte, indemnizarte o protegerte de cualquier acción de terceros basada en sus acciones.

Como siempre, nos esperamos que cumplas con todas las leyes que resulten aplicables en tu caso y que no alteres ni comprometas ningún dato más allá de lo que permite nuestro Programa de Divulgación de Vulnerabilidades.

Por favor, contáctanos antes de realizar cualquier conducta que pueda ir en contra de esta política o no esté abordada por ella. Nos reservamos el derecho exclusivo a determinar si has hecho un esfuerzo de buena fe para cumplir con y notificar las vulnerabilidades de seguridad de acuerdo con este Programa de Divulgación de Vulnerabilidades, y el contacto proactivo con nosotros antes de emprender cualquier acción es un factor importante en esa decisión. Si tienes dudas, ¡consúltanos primero!

Formulario de Notificaciones de Vulnerabilidades

Encontrarás a continuación nuestro Formulario de Notificaciones de Vulnerabilidades (proporcionado por HackerOne). Para poder utilizar el formulario, necesitarás aceptar las cookies de terceros haciendo clic en «Habilitar Cookies». También podrás encontrar este formulario aquí.

Versión 2.0 (marzo de 2024). La Política de Divulgación de Vulnerabilidades también está disponible para descargar.