Política de divulgación de vulnerabilidades

Introducción

Ansell es un experto mundial en soluciones de seguridad que lleva 125 años reinventando la protección personal. Proporcionamos las soluciones de protección más avanzadas a millones de personas en el trabajo y en casa, manteniéndolas fuera de peligro. Nuestra experiencia, nuestros productos innovadores y la tecnología avanzada brindan a nuestros clientes una tranquilidad y una confianza que ninguna otra marca puede ofrecer. Nuestro objetivo es ofrecer soluciones de seguridad innovadoras en un formato fiable y de confianza, creando un mundo protegido por Ansell.

Esta política pretende dar a los investigadores de seguridad unas directrices claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitirles nuestras preferencias sobre cómo enviarnos las vulnerabilidades de ciberseguridad descubiertas.

Esta política describe qué sistemas y tipos de investigación están cubiertos por ella, cómo enviarnos informes sobre vulnerabilidades y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de revelar públicamente una vulnerabilidad de ciberseguridad.

Le animamos a que se ponga en contacto con nosotros para informarnos de cualquier posible vulnerabilidad de nuestros sistemas.

Autorización

Si se esfuerza de buena fe por cumplir esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada y trabajaremos con usted para comprender y resolver rápidamente cualquier problema de ciberseguridad, y Ansell no recomendará ni emprenderá acciones legales relacionadas con su investigación. En caso de que un tercero inicie acciones legales contra usted por actividades realizadas de conformidad con esta política, pondremos en su conocimiento esta autorización.

Directrices

1. Informar sobre vulnerabilidades de ciberseguridad nuevas y únicas: Esto nos ayuda a centrarnos en solucionar los riesgos de mayor impacto para nosotros y nuestros clientes. No presentar un gran volumen de informes de baja calidad/bajo riesgo.
2. No comprometa los sistemas ni filtre datos: Utilice los exploits sólo en la medida necesaria para confirmar la presencia de una vulnerabilidad de ciberseguridad. Una vez que haya obtenido suficiente información para indicar un problema de seguridad, no intente establecer persistencia, apuntar, enumerar o exfiltrar ningún dato interno, establecer acceso a la línea de comandos, utilizar una vulnerabilidad para pivotar a otros sistemas. Detenga la prueba y notifique inmediatamente sólo a Ansell si encuentra datos confidenciales (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquiera de las partes).
3. Respeta a los demás: No lo hagas: violar la privacidad de cualquiera de los empleados o clientes de Ansell, acceder o intentar acceder a datos que no le pertenecen; causar cualquier degradación de la experiencia del usuario, llevar a cabo ataques no técnicos (por ejemplo, ingeniería social, phishing o acceso no autorizado a infraestructuras y empleados de Ansell) o realizar cualquier acción que pueda afectar negativamente a Ansell o a sus clientes; causar interrupciones en los sistemas de producción y exposición, destrucción o manipulación de datos.
4. Colabore: Colabore con nosotros únicamente a través de nuestro proceso de divulgación coordinada en cuanto se identifique una vulnerabilidad de ciberseguridad. La dirección de correo electrónico y el formulario web HTTPS están disponibles a continuación.
5. Notifíquenos (mediante los pasos que se indican a continuación) en cuanto descubra un problema de seguridad real o potencial en nuestro sistema. Queremos abordar estas cuestiones con prontitud y pedimos que no se sacrifique el hecho de que se nos notifique puntualmente mientras usted puede estar realizando otras investigaciones, por ejemplo, sobre otros productos.
6. Concédanos un plazo razonable para resolver el problema antes de divulgarlo públicamente. 90 días naturales desde la recepción por nuestra parte (software, incluidos sistemas basados en la nube y aplicaciones móviles) o 120 días naturales desde la recepción por nuestra parte (hardware, firmware e inalámbricos).

Divulgación pública

Como se establece en las directrices anteriores, para cumplir con esta política le pedimos que se abstenga de compartir su informe sobre Ansell con otros antes de enviárnoslo y mientras investigamos la presunta vulnerabilidad de ciberseguridad y potencialmente trabajamos en un parche u otras resoluciones. Le rogamos que nos plantee cualquier cuestión relacionada con Ansell antes de hacer una declaración.

Le informaremos cuando finalicemos nuestras conclusiones una vez resuelta la vulnerabilidad de ciberseguridad. Para cumplir con esta política, le exigimos que enlace a las conclusiones de Ansell junto con las suyas en cualquier entrada de blog, informe público, presentación o cualquier otra declaración pública sobre el asunto. Aparte de la posible enumeración de una cronología general relativa a la vulnerabilidad sobre la que nos llamó la atención, no publicaremos información sobre usted o sobre nuestras comunicaciones con usted sin su permiso. Si desea que se le reconozca, le daremos las gracias por su nombre o apodo en nuestro aviso. Ansell no da crédito a los empleados o contratistas de Ansell y sus filiales por las vulnerabilidades que han encontrado.

En la medida en que esta política se refiere a una "vulnerabilidad" o "vulnerabilidades", se pretende y se entiende que todas esas referencias significan vulnerabilidades de ciberseguridad potenciales o sospechadas, ya sea que así se declare o no, hasta que dicha vulnerabilidad haya sido investigada y confirmada por Ansell. La decisión de reconocer o no la divulgación de una vulnerabilidad y el momento de su reconocimiento quedan a nuestra entera discreción, y podemos cancelar el programa en cualquier momento. Sus pruebas no deben infringir ninguna ley.

MÉTODOS DE PRUEBA

Los siguientes métodos de prueba no están autorizados:

• Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que dificulten el acceso o dañen un sistema o datos.
• Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, "tailgating"), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica.

Ámbito

Esta política se aplica a los siguientes sistemas y servicios:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianpartner.com
• https://ansell.corvexconnected.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Cualquier otro subdominio de ansell.com

Todas las solicitudes de clientes quedan excluidas de esta política.

Vulnerabilidades fuera del ámbito de aplicación

Al informar sobre vulnerabilidades, por favor considere (1) escenario de ataque / explotabilidad, y (2) impacto de seguridad del fallo. Las siguientes cuestiones se consideran fuera del ámbito de aplicación:

• Clickjacking en páginas sin acciones sensibles
• Falsificación de petición en sitios cruzados (CSRF) en formularios no autenticados o formularios sin acciones sensibles.
• Ataques que requieren MITM o acceso físico al dispositivo de un usuario
• Bibliotecas vulnerables anteriormente conocidas sin una prueba de concepto operativa
• Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad.
• Falta de buenas prácticas en la configuración SSL/TLS.
• Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS)
• Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
• Limitación de velocidad o problemas de fuerza bruta en puntos finales sin autenticación.
• Ausencia de buenas prácticas en la política de seguridad de contenidos
• Faltan las banderas Http Only o Secure en las cookies
• Ausencia de buenas prácticas de correo electrónico (registros SPF/DKIM/DMARC no válidos, incompletos o inexistentes, etc.)
• Vulnerabilidades que sólo afectan a usuarios de navegadores obsoletos o sin parches [Menos de 2 versiones estables por detrás de la última versión estable publicada].
• Revelación de la versión del software / Problemas de identificación de la pancarta / Mensajes o cabeceras de error descriptivos (por ejemplo, rastros de pila, errores de la aplicación o del servidor).
• Tabnabbing
• Redirección abierta - a menos que pueda demostrarse un impacto adicional sobre la seguridad
• Cuestiones que requieren una improbable interacción del usuario

Cualquier servicio que no figure expresamente en la lista anterior, como cualquier servicio conectado, queda excluido del ámbito de aplicación y no se autoriza su comprobación. Además, las vulnerabilidades de ciberseguridad detectadas en los sistemas de nuestros proveedores quedan fuera del ámbito de aplicación de esta política y deben comunicarse directamente al proveedor de acuerdo con su política de divulgación (si la hubiera). Si no está seguro de si un sistema entra en el ámbito de aplicación o no, póngase en contacto con nosotros en security.vdr@ansell.com antes de empezar a investigar.

Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, pedimos que la investigación activa y las pruebas sólo se realicen en los sistemas y servicios incluidos en el ámbito de aplicación de este documento. Si hay un sistema concreto que no está en el ámbito de aplicación y que cree que merece ser probado, póngase en contacto con nosotros para comentarlo antes. Tenemos la intención de ampliar el alcance de esta política con el tiempo.

Notificar una vulnerabilidad

La información enviada en virtud de esta política se utilizará únicamente con fines defensivos: para mitigar o corregir vulnerabilidades de ciberseguridad. No compartiremos su nombre ni su información de contacto sin su permiso expreso.

Aceptamos informes sobre vulnerabilidades en este formulario o a través de security.vdr@ansell.com. Los informes pueden presentarse de forma anónima. Si comparte información de contacto, acusaremos recibo de su informe en un plazo de 3 días laborables.

No admitimos correos electrónicos cifrados con PGP. Para información especialmente sensible, envíela a través de nuestro formulario web HTTPS que aparece a continuación.

Lo que nos gustaría ver de usted

Para ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:

• Describa el lugar donde se descubrió la vulnerabilidad de ciberseguridad y el impacto potencial de su explotación.
• Ofrezca una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad de ciberseguridad (son útiles los scripts de prueba de concepto o las capturas de pantalla), incluyendo (según proceda):
  o Versión de la aplicación móvil
  o Tipo de dispositivo, versión del sistema operativo, versión del navegador
• Si es posible, en inglés.

Qué puede esperar de nosotros

Cuando decide compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la forma más abierta y rápida posible.

• En un plazo de 5 días laborales, confirmaremos que su informe fue recibido.
• En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad de ciberseguridad y seremos lo más transparentes posible sobre los pasos que estamos dando durante el proceso de reparación, incluidos los problemas o retos que puedan retrasar la resolución.
• Mantendremos un diálogo abierto para debatir los problemas.
• Al informar de un fallo de seguridad o vulnerabilidad, nos da derecho a utilizar su informe para cualquier fin.

Preguntas

Las preguntas relativas a esta política pueden enviarse a security.vdr@ansell.com. También le invitamos a ponerse en contacto con nosotros para hacernos llegar sus sugerencias para mejorar esta política.