PSIRT

Las notificaciones de posibles vulnerabilidades de seguridad son expresamente bienvenidas por parte de todo el mundo: además de nuestros clientes directos, esto incluye, por ejemplo, a expertos en seguridad, científicos, CERTs (Computer Emergency Response Teams, Equipos de Respuesta a Emergencias Informáticas), autoridades, asociaciones industriales, proveedores, planificadores u operadores de instalaciones.

Las notificaciones al PSIRT de AUMA se realizan a través de la dirección de correo electrónico PSIRT@auma.com establecida a tal efecto.

Dado que algunos de nuestros productos se utilizan en infraestructuras críticas, le rogamos que coordine con nosotros la divulgación de vulnerabilidades de seguridad. Con ello se pretende evitar poner en peligro la situación de seguridad de las instalaciones hasta que nuestros equipos de desarrollo hayan definido y proporcionado las contramedidas adecuadas para rectificar o mitigar la situación.

No se requiere ningún acuerdo de confidencialidad (NDA) ni ningún otro contrato para colaborar con nosotros en la divulgación de vulnerabilidades de seguridad. Nuestro objetivo es colaborar con los respectivos informadores de forma fiable y profesional a la hora de abordar posibles vulnerabilidades de seguridad en relación con los productos y servicios de AUMA.

Le rogamos que nos facilite la siguiente información en su notificación por correo electrónico para agilizar la tramitación:

• Nombre del notificador: Si desea permanecer en el anonimato, respetaremos sus intereses
• Datos de contacto: Correo electrónico y número de teléfono donde podamos localizarle para consultas o comentarios
• Afiliación: Nombre de su organización (p. ej., nombre de la empresa)
• Tipo de vulnerabilidad de seguridad: Descripción del tipo de vulnerabilidad de seguridad (p. ej., XSS, desbordamiento del búfer, credenciales codificadas)
• Desencadenante de la vulnerabilidad de seguridad: Descripción de cómo puede activarse la vulnerabilidad de seguridad (herramientas, procesos, procedimientos, pruebas)
• Producto afectado: ¿En qué productos o servicios de AUMA se descubrió la vulnerabilidad de seguridad? Introduzca toda la información de que disponga, como el nombre del producto con el número de pedido y de serie, la versión del firmware o del software, el sistema operativo de los componentes implicados, si procede, y la ubicación correspondiente (por ejemplo, URL) para los servicios
• Impacto de la vulnerabilidad de seguridad: Por favor, describa cómo un atacante podría explotar la vulnerabilidad de seguridad y qué impacto tendría.
• Evaluación CVSS: Evaluación de la vulnerabilidad de la seguridad según el sistema de puntuación común de vulnerabilidades (CVSS), si se conoce.
• Confidencialidad de las vulnerabilidades de seguridad: ¿Se ha divulgado ya la vulnerabilidad de seguridad o hay planes para divulgarla?
•  

Envíenos su mensaje en alemán o en inglés.

Dado que la información sobre vulnerabilidades de seguridad es crítica, le rogamos que nos la envíe cifrada. Para ello, utilice la siguiente clave PGP para cifrar la información que envíe a PSIRT@auma.com.

AUMA PSIRT Public Keys

Puede descargar nuestra clave PGP aquí:

Huella digital: 64F97ED5674E7BF923018ED87788765AF3FF7089

Análisis y solución

Una vez recibida la notificación, se inicia un procedimiento de tramitación normalizado. El PSIRT de AUMA acusará recibo de la vulnerabilidad de seguridad notificada, evaluará y analizará la información facilitada y coordinará las investigaciones y actividades necesarias para encontrar una solución, todo ello en estrecha coordinación con el notificador de la vulnerabilidad de seguridad.

Divulgación

Los avisos de seguridad de los productos y servicios de AUMA se publican a través de la plataforma de seguridad informática de acceso público CERT@VDE, creada específicamente para que las empresas del ámbito de la automatización industrial coordinen las vulnerabilidades de seguridad.

Directrices de seguridad