Divulgación de vulnerabilidad de seguridad

Política

1. Centro de Respuesta a Vulnerabilidades de Seguridad (S-CERT)

El departamento S-CERT*1 de Hanwha Vision es un equipo dedicado a abordar las vulnerabilidades de seguridad de los productos Wisenet de Hanwha Vision y responder rápidamente (analizar y preparar contramedidas) en caso de una vulnerabilidad de seguridad. Comuníquese con el equipo de S-CERT en secure.cctv@hanwha.com con información detallada del producto e instrucciones sobre cómo reproducir los síntomas de la vulnerabilidad cuando encuentre una vulnerabilidad de seguridad relacionada con el producto.※ S-CERT no responde a solicitudes de vulnerabilidad, soporte de producto o características respecto la página web (https://www.hanwhavision.com/). Póngase en contacto con su representante de ventas de Hanwha para consultas generales sobre productos.

2. Proceso de respuesta a vulnerabilidades de seguridad

Al recibir un informe de vulnerabilidad de la seguridad, se convoca inmediatamente un Consejo de contramedidas de accidentes de violación de la seguridad. Las notificaciones de vulnerabilidades de seguridad pueden recibir una respuesta durante de los 2 primeros días hábiles y otra respuesta respecto a la futura acción del fabricante y el plan de distribución relacionado con esa vulnerabilidad, dentro de los siguientes 10 días hábiles.

El firmware con las vulnerabilidades mejoradas y los detalles de las vulnerabilidades no se divulgarán hasta 90 días después de su recepción o hasta una fecha acordada mutuamente con el informante. Para una gestión transparente y eficiente de las vulnerabilidades de seguridad, a partir de septiembre de 2023, Hanwha Vision participará en el programa CVE como CNA que puede registrar y gestionar directamente las vulnerabilidades CVE y está coordinando un programa de recompensas por errores para clientes internos.

3. Política de notificación de vulnerabilidad de seguridad

El firmware parcheado para la vulnerabilidad se carga en el sitio web*2 junto con el Informe de vulnerabilidad. Los detalles de la vulnerabilidad (contenido de vulnerabilidad, información del producto afectado/versión de firmware, riesgo, contramedidas, etc.) no se divulgan hasta que el firmware parcheado se publica en el sitio web para la prevención de ataques de día cero. No se divulgan detalles tales como escenarios de ataque para vulnerabilidades para evitar imitar ataques. Si varios productos se ven afectados por la vulnerabilidad, los parches de firmware correspondientes se lanzarán al mismo tiempo.

*1. S-CERT: Seguridad-Equipo de Respuesta a Emergencias Informáticas

*2. Página de seguridad cibernética del sitio web (Soporte > Ciber Seguridad)

 

Nuestro compromiso con la ciberseguridad

¿Encontró una vulnerabilidad de seguridad?