Política de gestión de vulnerabilidades
Nuestro ciclo de desarrollo de producto sigue las directrices de Secure By Design. Esto nos compromete, entre otras acciones, a (i) identificar, analizar, reducir de forma sistemática las vulnerabilidades de nuestros productos; (ii) a publicar nuevas versiones que incluyan parches de seguridad para vulnerabilidades conocidas; (iii) divulgar las vulnerabilidades encontradas; y (iv) publicar una Política de Gestión de Vulnerabilidades.
Informar sobre problemas de seguridad
Nuestra Política de Gestión de Vulnerabilidades autoriza que terceras personas puedan realizar pruebas de seguridad en nuestros productos, y nos compromete, como fabricantes, a no recomendar o emprender acciones legales contra nadie que participe en esfuerzos de buena fe para seguir dicha política. Además, nos comprometemos a proporcionar un canal claro y abierto para que terceros reporten posibles vulnerabilidades, así como a divulgar vulnerabilidades junto a sus medidas de mitigación y/o resolución. Todo en línea con las mejores prácticas de las normas internacionales relativas a ciberseguridad.
En Fermax nos tomamos muy en serio los problemas de seguridad y agradecemos los comentarios de los investigadores de seguridad. Para nosotros son una forma de mejorar nuestros productos, aplicaciones y servicios en la nube. Todas las vulnerabilidades que se nos comuniquen mediante el procedimiento oficial se analizarán y se abordarán, bien para mitigar, bien para remediar esos problemas en nuestras infraestructuras y servicios.
Si crees haber descubierto una vulnerabilidad en un producto Fermax o tienes un incidente de seguridad que reportar, envía un correo electrónico a security@fermax.com o rellena nuestro formulario de vulnerabilidades, disponible a través del siguiente enlace:
https://www.fermax.com/informe-ciberseguridad
La vulnerabilidad reportada entrará directamente en nuestro backlog de tareas de seguridad, desde donde haremos el seguimiento hasta su resolución.
Para facilitar la gestión de la vulnerabilidad reportada, hacer seguimiento del caso, y aclarar posibles dudas, necesitamos la siguiente información:
- Nombre, Apellidos y email de contacto.
- Producto afectado/aplicación/servicio afectado. Si procede, número de modelo y versión del producto.
- Detalles de configuración de la configuración / dispositivos / tipo de instalación utilizada para reproducir el problema.
- Descripción de los pasos seguidos para reproducir el problema.
- Referencias públicas (si las hubiera).
- Fecha de descubrimiento.
- Sugerencia de corrección (si la hubiera).
Es importante que el investigador use este canal oficial para reportar problemas de seguridad, proporcionando toda la información relevante. Cuantos más detalles se proporcionen, más fácil será para nosotros clasificar y resolver el problema.
Siguiendo nuestra Política de Gestión de Vulnerabilidades, responderemos al email de contacto indicado, con la confirmación de la recepción y, de nuevo, una vez hayamos analizado el impacto, la gravedad y la complejidad del exploit en el informe de vulnerabilidad.
Si bien consideramos valiosa cualquier vulnerabilidad proporcionada, pedimos que terceros se abstengan de realizar cualquier tipo de investigación de seguridad que pueda dañar a nuestros usuarios, sistemas y servicios, o que pueda corromper datos.
Asimismo, si eres un investigador y detectas una vulnerabilidad que afecte a datos sensibles (e.g. PII o información personal identificable; información financiera; información confidencial; o secretos comerciales de terceros), deberás suspender las pruebas, notificar de inmediato la vulnerabilidad y no divulgar estos datos a terceros. Si un investigador actúa de mala fe, realizando alguna actividad que incumpla este procedimiento u otra legislación aplicable, podrá estar sujeto a responsabilidades penales o civiles.
Todas las comunicaciones relacionadas con la divulgación de vulnerabilidades respetarán la identidad del descubridor, manteniéndola confidencial, salvo que éste indique lo contrario.
Gestión de Vulnerabilidades
Las vulnerabilidades encontradas son clasificadas bajo Common Vulnerability Scoring System (CVSS). El CVSS es el estándar de facto usando a nivel mundial para evaluar la criticidad de las vulnerabilidades. Basándonos en este estándar y según su relevancia, establecemos los siguientes criterios de respuesta:
CVSS v4.0 alto/crítico (7.0 – 10.0)
Fermax tiene como objetivo resolver las vulnerabilidades altas o críticas en un plazo máximo de 30 días desde que se descubren internamente o se notifican a la empresa. Para aquellos componentes o soluciones fabricados o desarrollados por terceros, el plazo puede ser superior, ya que la obtención de información, parches y/o verificación dependen de externos.
CVSS v4.0 bajo/medio (0.1 – 6.9)
Las vulnerabilidades con una puntuación baja o media suelen tener consecuencias menos significativas para la seguridad del producto, ya que requieren acceso privilegiado previo, o tienen un impacto limitado en la confidencialidad, integridad o disponibilidad. Por lo tanto, Fermax podría resolver la vulnerabilidad eventualmente como parte de una próxima versión programada si se considera necesario.
Resolver una vulnerabilidad implica aplicar un parche de seguridad o mitigarla mediante la desactivación/sustitución del componente afectado.
Servicio de soporte y actualizaciones de seguridad
Brindamos soporte técnico, actualizaciones de seguridad y mejoras durante todo el ciclo de vida de nuestros productos, desde el lanzamiento, a lo largo de su vida útil, y durante un largo periodo tras la descontinuación de nuestros productos.
Soporte de software/servicios
Garantizamos el soporte de nuestro software y servicios hasta 5 años tras la fecha de la descontinuación del producto vinculado (End Of Life o EOL, en inglés). Una vez trascurrido este periodo, dejaremos de ofrecer actualizaciones de seguridad, soporte técnico y mejoras.
Soporte de Firmware y Hardware
Los dispositivos físicos y su firmware asociado reciben actualizaciones de seguridad y corrección de errores hasta 5 años desde la fecha de su descontinuación (EOL), siempre que el dispositivo lo permita.
Aplicaciones móviles
Nuestras Apps para móvil reciben soporte y actualizaciones hasta la discontinuación del producto. Sin embargo, es importante destacar que Fermax sólo se hace responsable de la App desarrollada por nuestros equipos, y no del Sistema Operativo de los móviles en los que se ejecutan nuestras Apps. Es responsabilidad del usuario mantener actualizado el Sistema Operativo de su dispositivo móvil.
Puedes consultar nuestra Política de Compatibilidad y Soporte de Versiones de Sistema Operativos Android/iOS a través del siguiente enlace:
https://soporte.fermax.com/portal/es/kb/articles/versiones-android-e-ios-minimas-soportadas
Divulgación Pública
Fermax divulgará públicamente las vulnerabilidades encontradas una vez que hayamos desarrollado y aplicado remedio a las mismas, y siempre que no comprometa la seguridad de nuestros usuarios. Para demostrar la máxima transparencia, cada informe de vulnerabilidad incluye un código preciso de Common Vulnerabilities and Exposures (CVE), cuando sea aplicable, incluyendo la Common Weakness Enumeration (CWE) y la Common Platform Enumeration (CPE). Además, nos comprometemos a publicar un CVE lo antes posible para todas las vulnerabilidades críticas o de alto impacto (ya sean descubiertas internamente o por un tercero).
La divulgación pública la realizaremos de manera coordinada y responsable, siguiendo las mejores prácticas de divulgación de vulnerabilidades y siendo publicada en https://www.fermax.com/avisos-seguridad.
Protección de Datos
De acuerdo con el Reglamento (UE) 2016/679, de 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos o ‘GDPR’) y la legislación española de protección de datos (‘LOPDGDD’), le informamos que los datos personales proporcionados para comunicar una vulnerabilidad serán tratados por FERMAX ELECTRÓNICA, S.A.U. (‘FERMAX’) como Responsable del Tratamiento, con el fin de notificarle sobre la resolución del incidente comunicado.
La base legal para el tratamiento de los datos se establece en el artículo 6.1.a) del GDPR (consentimiento), que se otorga al comunicar la vulnerabilidad.
También le informamos que los datos personales proporcionados no serán divulgados a terceros y solo se conservarán hasta que la vulnerabilidad haya sido resuelta. Como titular de dichos datos, puede ejercer sus derechos de acceso, rectificación, supresión, limitación y oposición al tratamiento y portabilidad de sus datos enviando un correo electrónico a privacidad@fermax.com.
Puede encontrar más información sobre sus derechos en materia de protección de datos personales en la Agencia Española de Protección de Datos a través del sitio web https://www.aepd.es.
Revisión y Actualización
Esta política es revisada y actualizada periódicamente por el equipo de seguridad de la información para garantizar su efectividad y relevancia. Así como nos reservamos el derecho de actualizarla sin previo aviso.