Estamos preparados para trabajar de buena fe con investigadores individuales, ICS-CERT, agencias dedicadas a reunir inteligencia sobre seguridad, clientes y personal de campo que podría detectar y enviar un informe de vulnerabilidades sobre nuestros productos. Las vulnerabilidades pueden informarse en nuestra página para Reportar un problema.
Eaton acepta no iniciar acción legal alguna contra las personas que:
Seguimos un proceso interno de evaluación de riesgos para aceptar y confirmar la recepción de la información sobre las vulnerabilidades, realizar un análisis preliminar y asignar una calificación inicial a la vulnerabilidad reportada. En el caso de cualquier vulnerabilidad reportada externamente en bibliotecas de software de terceros, asignamos una calificación de riesgo utilizando el método de puntuación de vulnerabilidades CVSS v3 según se aplica al producto Eaton afectado y a su contexto de despliegue. Toda vulnerabilidad cuya puntuación CVSS general sea al menos de 7 o que el CCoE considere un riesgo de Alta seguridad será abordada con prioridad.
Las vulnerabilidades descubiertas en los productos compatibles actualmente son remediadas por Eaton. El equipo del CCoE trabaja con el equipo de productos para corregir las vulnerabilidades conforme a la prioridad asignada. Se estima un plazo aproximado para corregir el problema y se lo comunica a los encargados de elaborar los informes sobre vulnerabilidades (es decir, investigadores individuales, ICS-CERT u otras agencias). Durante esta fase, el equipo del CCoE actúa como el único punto de contacto para las entidades externas e interactúa con los equipos internos para corregir y probar la vulnerabilidad. Durante este tiempo, se puede mantener la comunicación con la parte informante a medida que trabajamos para resolver el problema.
Eaton publica las correcciones de vulnerabilidades a través del canal de distribución estándar de los productos afectados. La información técnica detallada relacionada con las correcciones se publica como un aviso de seguridad sobre productos Eaton.
Eaton prefiere interactuar con quienes investigan las vulnerabilidades para realizar una divulgación coordinada y espera que estas personas se abstengan de divulgar detalles de las vulnerabilidades al público antes de que venza un plazo acordado mutuamente.
La publicación de la información relacionada con vulnerabilidades de seguridad se encuentra en nuestra página de Notificaciones de cíberseguridad. Esta página es el almacén central de los avisos de seguridad sobre productos Eaton relacionados con todos los productos eléctricos Eaton. Se recomienda a los clientes que monitoreen este portal para conocer los avisos de seguridad más recientes.
Nuestra intención es emitir avisos de seguridad para vulnerabilidades validadas cuando se haya identificado una solución alternativa o corrección práctica. Es posible que se den casos en los que se emite un aviso sin tenerse ninguna solución alternativa. Como cada vulnerabilidad de seguridad es diferente, podemos iniciar acciones alternativas en conexión con la emisión de avisos de seguridad.
Eaton no garantiza que se emitirán avisos de seguridad para todos o algunos de los problemas de seguridad que los clientes puedan considerar significantes, tampoco que se emitirán avisos en cualquier plazo específico.
Eaton tiene un Salón del Reconocimiento para reconocer debidamente los aportes de los investigadores de seguridad que reportan vulnerabilidades de cíberseguridad en productos conforme a esta política.
Enviar correo electrónico
