Política de seguridad de productos

Política de seguridad de productos

ORBCOMM sigue plenamente comprometido con la mejora continua de nuestra ciberresiliencia y la alineación de nuestras políticas y procedimientos con las mejores prácticas de la industria.

Trabajamos arduamente para evaluar y abordar los problemas de seguridad de forma continua y cuando se nos señalan específicamente, y para destinar los recursos adecuados para analizar, validar y proporcionar medidas correctivas para abordar el problema.

Notificación de una posible vulnerabilidad de seguridad

Agradecemos los informes de investigadores independientes, organizaciones de la industria, proveedores y clientes preocupados por la seguridad de los productos. Para informar de cualquier posible vulnerabilidad, envíe un correo electrónico a psirt@orbcomm.com indicando "Divulgación responsable" en el asunto y un resumen de los hallazgos en el cuerpo del mensaje. Se puede esperar una respuesta en un plazo de tres (3) a cinco (5) días hábiles.

Proceso de gestión de vulnerabilidades

Evaluación de los riesgos de seguridad mediante el Sistema de puntuación de vulnerabilidades comunes (CVSS)

Usamos el Sistema de puntuación de vulnerabilidades comunes versión 3.0 (CVSS v3.0) para evaluar el nivel de gravedad de las vulnerabilidades identificadas. Esto permite un método de puntuación común y un lenguaje común para comunicar las características e impactos de las vulnerabilidades e intenta establecer el nivel de respuesta que una vulnerabilidad merece. El modelo usa tres medidas o puntuaciones distintas que incluyen cálculos de base, temporales y ambientales, cada una de las cuales consta de un conjunto de métricas definidas. El estándar completo está a cargo del Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST).

Seguimos la escala cualitativa de clasificación de gravedad del Documento de especificación CVSS v3.0 para definir las clasificaciones de gravedad como se muestra en la siguiente tabla:

Nos reservamos el derecho a desviarnos de estas directrices en casos específicos en los que factores adicionales no se reflejen adecuadamente en la puntuación del CVSS.

Recomendamos consultar a un profesional de seguridad o de TI para evaluar el riesgo de su configuración específica y lo animamos a calcular la puntuación ambiental del CVSS en función de los parámetros de su red. Todos los clientes deben tener en cuenta la puntuación base y cualquier puntuación temporal y ambiental que pueda ser relevante para su entorno, con el fin de evaluar su riesgo global. Esta puntuación global solo representa el momento en el que se realizó la evaluación y está adaptada a su entorno específico. Debe usar la evaluación de riesgos de un profesional de seguridad o de TI y esta puntuación final para priorizar las respuestas dentro de su propio entorno.

Notificación de vulnerabilidades a los clientes

En la mayoría de los casos, pretendemos notificar a los clientes cuando exista una solución o una solución temporal práctica identificadas para una vulnerabilidad de seguridad. La notificación se realiza a través de comunicaciones específicas o mediante la publicación de una notificación al cliente en la página web dedicada al producto. Esta notificación se publicará una vez que el equipo de seguridad de ORBCOMM haya completado el proceso de respuesta a la vulnerabilidad y haya determinado que existen suficientes parches de software o soluciones temporales para solucionar la vulnerabilidad, o cuando esté programada la divulgación pública de las correcciones de código para abordar las vulnerabilidades.

Las notificaciones a los clientes pretenden proporcionar suficientes detalles que ayuden a los clientes a tomar decisiones informadas para proteger sus respectivos entornos. Por lo general, estas notificaciones incluirán la siguiente información:

1. Productos y versiones afectados.
2. Identificador de enumeración de vulnerabilidades comunes (CVE) para la vulnerabilidad.
3. Breve descripción de la vulnerabilidad y su posible impacto si se explota.
4. Clasificación de gravedad del sistema de puntuación de vulnerabilidades comunes (CVSS) para la vulnerabilidad.
5. Detalles de mitigación, como una actualización, corrección, mitigación u otra acción del cliente.
6. Agradecimiento al informante de la vulnerabilidad identificada y reconocimiento por la coordinación con ORBCOMM.

Podemos publicar una comunicación especial para responder rápidamente a divulgaciones públicas cuando la vulnerabilidad ya haya recibido una atención pública significativa o se espere que se explote activamente. En tal caso, podemos acelerar la comunicación, que puede o no incluir un conjunto completo de parches o soluciones.

No proporcionaremos información detallada sobre las vulnerabilidades específicas, incluyendo, entre otras, notas de la versión, artículos basados en conocimientos o código de explotación o de prueba de concepto para las vulnerabilidades identificadas.

Además, no compartimos los resultados de las pruebas de seguridad internas u otros tipos de actividades de seguridad con entidades externas. Es importante tener en cuenta que cualquier exploración no autorizada de nuestros servicios y sistemas de producción se considerará un ataque.

Vulnerability RemediationCorrección de vulnerabilidades

Nos tomamos muy en serio los problemas de seguridad y trabajamos para evaluarlos y abordarlos a tiempo. Los plazos de respuesta dependerán de muchos factores, entre los que se incluyen: la gravedad, los productos y servicios afectados, el ciclo de desarrollo actual, los ciclos de control de calidad y si el problema solo puede actualizarse en una versión mayor.

La corrección puede adoptar una o varias de las siguientes formas:

1. Una nueva versión o parche de ORBCOMM
2. Instrucciones para descargar e instalar una actualización o un parche de terceros
3. Una solución temporal para mitigar la vulnerabilidad

No obstante todo lo anterior, no garantizamos una resolución específica de los problemas y es posible que no se solucionen todos los problemas identificados.