Política de segurança de produto

Política de segurança de produto

A ORBCOMM permanece totalmente comprometida em aumentar continuamente nossa resiliência cibernética e em alinhar nossas políticas e procedimentos às melhores práticas do setor.

Trabalhamos diligentemente para avaliar e resolver questões de segurança ininterruptamente e conforme chamam nossa atenção especificamente, além de alocar os recursos apropriados para análise, validação e oferecimento de ações corretivas que resolvam o problema.

Informe de possível vulnerabilidade de segurança

Nós apreciamos informes de pesquisadores independentes, organizações industriais, fornecedores e clientes preocupados com a segurança dos produtos. Para informar quaisquer possíveis vulnerabilidades, envie um e-mail para psirt@orbcomm.com com “Responsible Disclosure” (Divulgação responsável) no título e um resumo de suas descobertas no corpo do e-mail. Retornaremos uma resposta em 3 (três) a 5 (cinco) dias úteis.

Processo de gestão de vulnerabilidades

Avaliação do risco de segurança com o Sistema de Pontuação de Vulnerabilidades Comuns (CVSS, Common Vulnerability Scoring System)

Utilizamos o Sistema de Pontuação de Vulnerabilidades Comuns versão 3.0 (CVSS v3.0) para avaliar o nível de segurança das vulnerabilidades identificadas. Isso gera um método de pontuação e uma linguagem comuns para comunicar as características e impactos das vulnerabilidades, além das tentativas de estabelecer o nível da resposta que uma vulnerabilidade exija. O modelo utiliza três medidas ou pontuações distintas que incluem cálculos básicos, temporais e ambientais, cada um consistindo em um conjunto de métricas definidas. O padrão completo é mantido pelo Fórum de Respostas a Incidentes e Equipes de Segurança (FIRST, Forum of Incident Response and Security Teams).

Nós seguimos o Documento de Especificações CVSS v3.0 Escala de Pontuação de Gravidade Qualitativa (Qualitative Severity Rating Scale) a fim de definir as pontuações de gravidade, como mostradas na tabela abaixo:

Reservamo-nos o direito de nos afastarmos dessas diretrizes em casos específicos em que fatores adicionais não sejam refletidos adequadamente na pontuação do CVSS.

Recomendamos que você consulte um profissional de segurança ou de TI para avaliar o risco da sua configuração específica e o encorajamos a calcular a pontuação ambiental do CVSS com base nos parâmetros da sua rede. Todos os clientes devem levar em conta a pontuação base e quaisquer pontuações temporais e ambientais que possam ser relevantes para seus ambientes, a fim de avaliar o risco geral. Essa pontuação geral representa apenas o momento em que a avaliação é realizada e é ajustada para seu ambiente específico. Você deve utilizar a avaliação de risco de um profissional de segurança ou de TI e essa pontuação final para priorizar respostas dentro de seu próprio ambiente.

Notificação de vulnerabilidades a clientes

Na maioria dos casos, pretendemos informar os clientes quando identificamos uma solução prática ou conserto de uma vulnerabilidade de segurança. A notificação é enviada por formas de comunicação exclusivas ou publicando-se uma notificação aos clientes na página da web dedicada ao produto. Ela é publicada após a equipe de segurança da ORBCOMM concluir o processo de resposta à vulnerabilidade e determinar que existam patches de software e soluções suficientes para resolver a vulnerabilidade ou que um subsequente anúncio público de correções de código esteja planejado para resolvê-la.

As notificações aos clientes devem fornecer detalhes suficientes que os auxiliem em tomar decisões que protejam seus respectivos ambientes. Tais notificações tipicamente incluem as seguintes informações:

1. Produtos e versões afetadas.
2. Identificador de Enumeração de Vulnerabilidade Comum (CVE, Common Vulnerability Enumeration) da vulnerabilidade.
3. Breve descrição da vulnerabilidade e do possível impacto se explorada.
4. A pontuação de gravidade do Sistema de Pontuação de Vulnerabilidades Comuns (CVSS) da vulnerabilidade.
5. Detalhes de mitigação, como uma atualização, conserto, mitigação ou outra ação do cliente.
6. Crédito àquele que informou a vulnerabilidade identificada e reconhecimento por sua coordenação com a ORBCOMM.

Podemos divulgar uma mensagem especial para responder rapidamente a anúncios públicos em que a vulnerabilidade já tenha recebido atenção significativa do público ou quando se espera que ela seja ativamente explorada. Em tal evento, podemos enviar a mensagem, que pode ou não conter um conjunto completo de patches ou soluções.

Não daremos detalhes sobre informações específicas das vulnerabilidades, incluindo, mas não se limitando a: notas de versão, artigos da base de conhecimento ou formas de explorar a vulnerabilidade, ou código de prova de conceito dela.

Além disso, não compartilhamos com entidades externas as descobertas de testes de segurança internos ou outros tipos de atividades de segurança. É importante observar que qualquer varredura não autorizada de nossos serviços e sistemas de produção será considerada um ataque.

Remediação de vulnerabilidade

Levamos à sério as preocupações com a segurança e trabalhamos para avaliá-las e resolvê-las em tempo hábil. Os tempos de resposta dependem de muitos fatores, incluindo, mas não se limitando a: gravidade, produtos e serviços afetados, ciclo de desenvolvimento atual, ciclos de controle de qualidade e se a questão só pode ser resolvida no lançamento de uma nova versão.

A remediação pode se dar em uma ou mais das seguintes formas:

1. Um novo patch ou versão da ORBCOMM
2. Instruções para download e instalação de uma atualização ou patch de um desenvolvedor terceiro
3. Uma solução para mitigar a vulnerabilidade

Apesar de tudo explicado acima, não garantimos a resolução específica de problemas e nem todos os problemas identificados podem ser remediados.