Programa de divulgación responsable
Introducción
Censys considera que la divulgación oportuna y coordinada de las vulnerabilidades redunda en beneficio del público y de las partes afectadas. Censys puede descubrir vulnerabilidades en el curso de las investigaciones de nuestro equipo de investigación de seguridad.
Cuando se descubra una vulnerabilidad en un suscriptor de los productos o servicios de Censys', Censys revelará el problema de forma privada a la parte afectada, dentro del flujo de trabajo del cliente afectado. En caso de que se descubra una nueva vulnerabilidad en el curso de una investigación de seguridad, Censys se coordinará con el proveedor junto con CERT/CC si es necesario, utilizando el flujo de trabajo que se describe a continuación.
Flujo de trabajo de divulgación responsable
- Censys mantendrá la confidencialidad de cualquier comunicación relativa a la vulnerabilidad hasta que finalice el proceso de divulgación.
- Censys intentará ponerse en contacto con el proveedor de productos adecuado por correo electrónico.
- Censys proporcionará los detalles de la vulnerabilidad al proveedor.
- Si es necesaria una mayor coordinación, Censys enviará una notificación al CERT/CC en un plazo de 15 días tras el primer intento de contacto con el proveedor.
- Censys preparará y publicará un aviso detallando la vulnerabilidad al menos 60 días (máximo 90) después de los intentos iniciales de divulgación en la etapa #2 anterior, salvo circunstancias atenuantes. Este aviso se pondrá a disposición del público en general a través del blog de Censysy de las redes sociales. En función de la repercusión, Censys podrá coordinarse con las partes interesadas de los medios de comunicación.
Recursos adicionales
Para conocer las últimas noticias, investigaciones y novedades de Censys en materia de seguridad, investigación y proyectos, visite nuestra página de recursos y nuestro blog.