Política de divulgación de vulnerabilidades

1. Introducción

La política de divulgación de vulnerabilidades Cleva anima a los investigadores de seguridad y al público en general a proporcionar información y participar en la investigación y divulgación responsable de vulnerabilidades. Si cree que ha descubierto vulnerabilidades, datos expuestos u otros problemas de seguridad, le invitamos a que se ponga en contacto con nosotros. Esta política describe los pasos para informarnos sobre vulnerabilidades y aclara la política de Cleva sobre la identificación y notificación de posibles vulnerabilidades.

2. Definición

• Ventana de confidencialidad: Si aceptamos su informe de vulnerabilidad, nuestro objetivo es completar el trabajo de reparación y publicar el programa de reparación en un plazo de 90 días tras la confirmación inicial. Si se necesita información adicional para confirmar la vulnerabilidad, nos pondremos en contacto con usted. Si no hemos recibido respuesta después de 3 intentos, podemos cerrar el caso, pero seguimos aceptando informes de vulnerabilidad continuados en el futuro.

• Nosotros: En esta política, "nosotros" se refiere a Cleva y engloba nuestra marca.

• Informar de una vulnerabilidad: Por favor, informe de las vulnerabilidades a Cleva a través del correo electrónico: [email protected]

• Canal oficial de divulgación: Canal de comunicación para la divulgación de vulnerabilidades: https://www.eu.cleva.com/

3. Método de notificación de vulnerabilidades

Si descubre algún problema de seguridad mientras prueba o utiliza los productos o servicios Cleva , envíe información detallada sobre sus hallazgos por correo electrónico a nuestro canal de notificación oficial ([email protected]). Informar a través de otros canales puede dar lugar a retrasos en las respuestas o desatención.

Si es posible, incluya la siguiente información en el informe de vulnerabilidad:

• Productos o servicios específicos afectados, incluidos los números de versión pertinentes.

• Información detallada sobre el impacto del problema; cualquier información que ayude a reproducir o diagnosticar el problema.

• Si cree que la vulnerabilidad ha sido divulgada públicamente o es conocida por terceros.

4. Nuestro compromiso

Cuando trabaje con nosotros y de acuerdo con esta política:

1. Actualmente no ofrecemos ni participamos en el Programa permanente de recompensas por vulnerabilidades. No aceptaremos pagos de recompensas, material promocional ni solicitudes de créditos fuera del proceso de publicación de anuncios de seguridad.

2. Confirmaremos preliminarmente y proporcionaremos un número de seguimiento en un plazo de 5 días laborables tras recibir su informe de vulnerabilidad.

3. Enviaremos una confirmación de aceptación de la vulnerabilidad en un plazo de 30 días tras la confirmación inicial, que incluirá un plazo sugerido para la reparación. Si no aceptamos el informe, daremos nuestras razones y seguiremos abiertos a nueva información sobre el informe.

Una vez confirmadas las vulnerabilidades notificadas, nuestros ingenieros trabajarán para desarrollar las soluciones adecuadas.

Si hay vulnerabilidades que no pueden resolverse en el plazo de 90 días, trabajaremos con usted para ampliar el periodo de confidencialidad o proporcionarle otras sugerencias. El tiempo de resolución de la solución puede verse afectado por:

• Los plazos de los proveedores anteriores son diferentes a los nuestros.

• Si se requiere un número significativo de cambios arquitectónicos para abordar esta vulnerabilidad.

• Requisitos de verificación complejos o ampliados causados por cambios de firmware de bajo nivel.

Emitimos avisos de seguridad de forma independiente para proporcionar información de seguridad importante a nuestros clientes y al público en general. Si se cumple alguna de las siguientes condiciones, le animamos a descubrir y notificar vulnerabilidades relacionadas con nuestros avisos de seguridad o CVE (Common Vulnerabilities and Exposures):

• La vulnerabilidad reportada afecta a los productos Cleva actualmente soportados,

• Realizamos cambios en el código o en la configuración como resultado del problema,

• Eres el primero en informar de esta vulnerabilidad,

• Su investigación cumple nuestra política de divulgación responsable, y

• Usted se compromete a confirmar los resultados como parte del proceso de elaboración del informe.

Los siguientes modelos son compatibles con las actualizaciones de software hasta el 31 de diciembre de 2035:

• VBRM18AMIDR , VBRM18AMID2R, VBRM18AMID4R, VBRM18AMID8R

• AMD18,AMD18i2, AMD18P2,AMD18i4, AMD18P4,AMD18i8, AMD18P8

• AMB18,AMB18i2, AMB18P2,AMB18i4, AMB18P4,AMB18i8, AMB18P8

• AMD16,AMD16i2, AMD16P2, AMD16i4, AMD16P4

• AMB16,AMB16i2, AMB16P2, AMB16i4, AMB16P4

• AMD18B,AMD18i2B,AMD18P2B,AMD18i4B,AMD18P4B,AMD18i8B,AMD18P8B

• AMB18B,AMB18i2B,AMB18P2B,AMB18i4B,AMB18P4B,AMB18i8B,AMB18P8B

• AMD16B,AMD16i2B, AMD16P2B, AMD16i4B, AMD16P4B

• AMB16B,AMB16i2B, AMB16P2B, AMB16i4B, AMB16P4B

• AMD18C,AMD18i2C,AMD18P2C,AMD18i4C,AMD18P4C,AMD18i8C,AMD18P8C

• AMB18C,AMB18i2C,AMB18P2C,AMB18i4C,AMB18P4C,AMB18i8C,AMB18P8C

• AMD16C,AMD16i2C, AMD16P2C, AMD16i4C, AMD16P4C

• AMB16C,AMB16i2C, AMB16P2C, AMB16i4C, AMB16P4C

• AMD18D,AMD18i2D,AMD18P2D,AMD18i4D,AMD18P4D,AMD18i8D,AMD18P8D

• AMB18D,AMB18i2D,AMB18P2D,AMB18i4D,AMB18P4D,AMB18i8D,AMB18P8D

• AMD16D,AMD16i2D, AMD16P2D, AMD16i4D, AMD16P4D

• AMB16D,AMB16i2D, AMB16P2D, AMB16i4D, AMB16P4D

• AMD18E,AMD18i2E,AMD18P2E,AMD18i4E,AMD18P4E,AMD18i8E,AMD18P8E

• AMB18E,AMB18i2E,AMB18P2E,AMB18i4E,AMB18P4E,AMB18i8E,AMB18P8E

• AMD16E,AMD16i2E, AMD16P2E, AMD16i4E, AMD16P4E

• AMB16E,AMB16i2E, AMB16P2E, AMB16i4E, AMB16P4E

• AMD18F,AMD18i2F,AMD18P2F,AMD18i4F,AMD18P4F,AMD18i8F,AMD18P8F

• AMB18F,AMB18i2F,AMB18P2F,AMB18i4F,AMB18P4F,AMB18i8F,AMB18P8F

• AMD16F,AMD16i2F, AMD16P2F, AMD16i4F, AMD16P4F

• AMB16F,AMB16i2F, AMB16P2F, AMB16i4F, AMB16P4F

• AMD18G,AMD18i2G,AMD18P2G,AMD18i4G,AMD18P4G,AMD18i8G,AMD18P8G

• AMB18G,AMB18i2G,AMB18P2G,AMB18i4G,AMB18P4G,AMB18i8G,AMB18P8G

• AMD16G,AMD16i2G, AMD16P2G, AMD16i4G, AMD16P4G

• AMB16G,AMB16i2G, AMB16P2G, AMB16i4G, AMB16P4G

Los modelos anteriores son modelos base y se muestran sin sufijo. Los modelos base pueden tener el sufijo Plus/Max/Pro/3D/3DPro/3D-Pro/Ultra/SE, que pueden venderse en diferentes regiones de ventas. Los modelos que contienen "18" pertenecen a la misma serie, y los modelos que contienen "16" también representan productos de la misma serie.

5. Nuestras expectativas

Al participar en nuestro programa de divulgación de vulnerabilidades, debe leer, comprender y aceptar nuestra Política de divulgación de vulnerabilidades, incluidos todos los términos y condiciones. El cumplimiento de esta política es obligatorio.

Si no está de acuerdo con la política o sus condiciones, le rogamos que interrumpa su participación. No prestaremos servicios relacionados a las personas que no acepten las condiciones.

Al seguir participando, reconoce que comprende y acepta plenamente todas las políticas y condiciones aplicables que se exponen a continuación.

1). Conformidad

• Debe cumplir esta política y cualquier otro acuerdo aplicable.

• En caso de conflicto entre esta política y otras condiciones, prevalecerá esta política.

2). Divulgación oportuna y responsable

• Notifique las vulnerabilidades en cuanto las descubra.

• No comparta la información sobre vulnerabilidad con nadie ajeno a Cleva antes de enviar su informe.

3). Tratamiento de datos sensibles

• Si durante las pruebas accede a información propiedad de Cleva, datos de clientes, datos de empleados u otra información confidencial relacionada con la empresa, ya sea de forma intencionada o no, deberá:

  • No utilizar, almacenar, compartir o registrar esta información de ninguna forma.

  • Documente claramente dicho acceso en su informe de vulnerabilidad.

4). Pruebas responsables

• Durante las pruebas de seguridad, debe evitar:

  • Violación de la privacidad de los usuarios.

  • Interrupción de los sistemas de producción.

  • Degradación de la experiencia del usuario.

  • Provocar cualquier pérdida o violación de datos.

• En concreto, no debe:

  • Realizar pruebas destructivas (como la denegación de servicio).

  • Acceder a datos no autorizados o modificarlos.

  • Atacar al personal, los activos, los centros de datos, los socios o las filiales Cleva .

  • Utilizar la ingeniería social o falsear su identidad o autoridad.

  • Violar cualquier ley o acuerdo aplicable para descubrir lagunas.

  • Realizar investigaciones sobre productos/servicios fuera de su ciclo de vida de seguridad soportado.

5). Informes y licencias

• Envíe todos los informes de seguridad exclusivamente a través del proceso oficial de informes de vulnerabilidades de Cleva.

• Al enviar un informe, usted concede Cleva una licencia mundial, perpetua, libre de regalías y no exclusiva para utilizar su envío con el fin de mejorar nuestros productos y servicios.

6. Confidencialidad

• No divulgue públicamente ninguna vulnerabilidad hasta que Cleva haya resuelto el problema y publicado un boletín de seguridad oficial.

• Debe obtener el permiso por escrito de Cleva antes de compartir externamente cualquier dato sobre vulnerabilidad.

7. Acceso a los datos y protección de los usuarios

• Si una vulnerabilidad permite acceder a los datos, limite el acceso estrictamente a lo necesario para la verificación.

• Si encuentra datos confidenciales (como información personal identificable (PII), información médica personal (PHI), detalles de pago o información de propiedad), detenga inmediatamente la prueba e informe del incidente a Cleva.

• Interactúe únicamente con cuentas de prueba de su propiedad o para las que tenga autorización explícita del titular de la cuenta.