Política de Divulgación de Vulnerabilidades

Última actualización: 24th March 2023

CSL es la opción de confianza para proporcionar soluciones de conectividad M2M e IoT a muchos sectores, como la Seguridad, Incendios, Teleasistencia y el Retail, entre otros. Debido a las aplicaciones críticas que apoyamos, la seguridad, la privacidad y la integridad de nuestros productos y servicios son una prioridad para nosotros y algo que nos tomamos muy en serio. Con este objetivo, esperamos fomentar una asociación abierta con la comunidad de seguridad para mantener y mejorar nuestra postura. Reconocemos que el trabajo que realiza esta comunidad es importante para seguir garantizando la seguridad de todos los clientes de CSL. Por ello, fomentamos la notificación responsable de cualquier vulnerabilidad que pueda encontrarse en nuestras aplicaciones o servicios. Nos comprometemos a trabajar con los investigadores de seguridad para verificar y abordar cualquier posible vulnerabilidad de alcance que se nos comunique.

COMUNIDAD INICIAL

Nuestro Programa de Divulgación de Vulnerabilidades cubre inicialmente las siguientes gamas de productos y servicios:

• DualCom Pro
• CSL Router

Aunque CSL desarrolla otros productos, pedimos a los investigadores de seguridad que presenten informes de vulnerabilidad sólo para estos productos/servicios indicados. Tenemos la intención de aumentar nuestro alcance a medida que vayamos adquiriendo capacidad y experiencia con este proceso.

¿CÓMO DECLARAR UNA VULNERABILIDAD?

Para enviar un informe de vulnerabilidad a nuestro equipo de divulgación de vulnerabilidades, comparta en privado los detalles de la presunta vulnerabilidad a través de la siguiente dirección de correo electrónico: vdp@csl-group.com

Podemos compartir su informe cuando sea apropiado hacerlo, lo que puede incluir compartirlo con otros proveedores afectados u organizaciones de seguridad como UKCERT.

PRECAUCIONES

Aunque le animamos a que detecte y nos comunique cualquier vulnerabilidad que pueda encontrar de forma responsable, las siguientes conductas están expresamente prohibidas:

• Realizar acciones que puedan afectar negativamente a nuestros servicios a los clientes (por ejemplo, spam, fuerza bruta, denegación de servicio, etc).
• Acceder, o intentar acceder, a datos o información que no le pertenezcan.
• Destruir o corromper, o intentar destruir o dañar, datos o información que no le pertenezcan..
• Llevar a cabo cualquier tipo de ataque físico o electrónico contra el personal, la propiedad o los Centros de Datos de CSL.
• Realizar ingeniería social a cualquier servicio de atención al cliente, empleado o contratista de CSL.
• Violar cualquier ley o incumplir cualquier acuerdo con el fin de descubrir vulnerabilidades..

NUESTRO COMPROMISO

Le pedimos que no comparta ni haga pública una vulnerabilidad no resuelta con/en terceros. Si nos envía un informe de vulnerabilidad de forma responsable, nuestro equipo de divulgación de vulnerabilidades hará esfuerzos razonables para

• Responder de manera oportuna, acusando recibo de su informe de vulnerabilidad.
• Proporcionar un plazo estimado para abordar el informe de vulnerabilidad.
• Notificarle cuando se haya solucionado la vulnerabilidad.
• Mantener un diálogo abierto cuando sea posible para discutir los problemas.

Nos complace agradecer a todos los usuarios que envían un informe de vulnerabilidad para ayudarnos a mejorar nuestra postura general de seguridad en CSL.