Logo Vimar payoff positivoLogo Vimar positivo

Security Incident

Reporting Policy

La seguridad es fundamental para nosotros y para nuestros clientes, por eso, en Vimar, nos comprometemos en garantizar la seguridad y la protección de nuestros productos y servicios. Vimar respalda la divulgación coordinada de las vulnerabilidades y anima a realizar pruebas de vulnerabilidad responsables, nos tomamos en serio todas las señalizaciones de potenciales vulnerabilidades de la seguridad.

Sigue estos pasos para indicar una potencial vulnerabilidad de la seguridad.

Procedimiento de señalización

  1. Te rogamos utilizar nuestra clave pública PGP (download) para cifrar todos los correos electrónicos que nos envíes a la dirección security-report-on-iot@vimar.com
  2. Facilita tu número de referencia y datos de contacto suficientes, tales como;
    a. Tus datos de contacto;
    b. Nombre de la persona que ha detectado la vulnerabilidad;
    c. Fecha en la que se ha detectado la vulnerabilidad y detalles sobre cómo se ha descubierto.
    d. Usa el idioma inglés.
  3. Incluir una descripción técnica del problema o de la vulnerabilidad. Proporciona toda la información posible sobre el producto o servicio, como el número de versión y la configuración utilizada (por ejemplo, las herramientas). Si has escrito una prueba de concepto específica o un código exploit, facilita una copia. Asegúrate de que todo el código enviado resulte claramente indicado y cifrado con nuestra clave PGP (download);
  4. Si has identificado amenazas específicas, inherentes a la vulnerabilidad, evaluado el riesgo, proporciona dicha información.
DescargarTamañoFecha
PGP public key1.97 K15/06/2021

Informe de evaluación y acción

  1. Vimar: 
    a. Confirmará la recepción de tu señalización en un plazo de 14 días laborables;
    b. Proporcionará un número de seguimiento unívoco para tu señalización;
    c. Asignará a una persona de contacto para cada caso presentado;
    d. Avisará a los equipos técnicos internos interesados.
  2. Vimar te mantendrá informado/a sobre el estado de tu señalización.
  3. Si la vulnerabilidad reside efectivamente en un componente o servicio de terceros, que forman parte de nuestro producto/servicio, enviaremos la señalización a dichos terceros y te informaremos sobre dicha notificación. Para dicho fin, te rogamos indicarnos en tu correo electrónico, si autorizas en dichos casos facilitar tus datos de contacto a terceros.
  4. Tras haber recibido una señalización de vulnerabilidad, Vimar;a. Verificará la vulnerabilidad señalada;
    b. Trabajará para buscar una solución;
    c. Realizará una prueba de control de la calidad/convalidación de la solución;
    d. Entregará la solución;
    e. Compartirá las lecciones aprendidas con los equipos de desarrollo.
  5. Vimar utilizará los procesos de notificación de los clientes existentes para gestionar la entrega de parches o correcciones de seguridad, que pueden incluir, sin limitaciones y únicamente a juicio de Vimar, la notificación directa al cliente o la entrega pública de una notificación de aviso en nuestro sitio web.
Rapporto Valutazione E Azione

Importante

  1. Abstenerse de incluir información personal sensible en posibles capturas de pantalla u otros anexos proporcionados por el usuario.
  2. No efectuar pruebas de vulnerabilidad en aplicaciones, productos o servicios que se estén usando activamente. Las pruebas de vulnerabilidad se han de efectuar únicamente en dispositivos o aplicaciones, productos o servicios no actualmente en uso o no destinados al uso.
  3. Utilizar entornos de demostración/prueba para efectuar pruebas de vulnerabilidad con aplicaciones, productos o servicios basados en la web.
  4. No aprovechar la vulnerabilidad o el problema que has descubierto; por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando algún dato. Intenta no borrar o utilizar datos pertenecientes a otros usuarios.
  5. En el marco de la coordinación responsable de la divulgación de las vulnerabilidades, te pedimos colaborar con Vimar para seleccionar las fechas de entrega pública para la información sobre las vulnerabilidades descubiertas.
  6. Los esfuerzos para buscar las vulnerabilidades no han de desembocar en acciones desproporcionadas, como, por ejemplo, sin limitaciones: a. Utilización de la ingeniería social para obtener acceso o información;
    b. Instalar o construir backdoor en una aplicación informativa, un producto o un servicio con la intención de utilizarlo para demostrar la vulnerabilidad;
    c. Utilizar una vulnerabilidad más de lo necesario para determinar su existencia.
    d. Aportar modificaciones a la aplicación, al producto o al servicio;
    e. Acceso repetido a la aplicación, producto o servicio o compartir el acceso con otros;
    f. Utilización de ataques de fuerza bruta para acceder a la aplicación, al producto o al servicio. No es una vulnerabilidad en sentido estricto, sino intentos repetidos de probar contraseñas.
  7. Vimar dará pleno crédito a los investigadores que realizan una señalización de vulnerabilidad o ejecutan pruebas, sobre la información de entrega de parches o correcciones de seguridad entregadas públicamente, cuando así se requiera.
Vimar Security Incident Policy Vimar

Notice

Si compartes alguna información con Vimar en el marco de la divulgación responsable, aceptas que la información que envías sea considerada no propietaria y no reservada. Vimar queda autorizada a utilizar la información compartida, o parte de esta, sin restricciones. Aceptas que el envío de información no crea derechos para ti u obligaciones para Vimar. Vimar trata los datos personales en función de la política de privacidad de producto y app del sitio web.