Informes de Coordinated Vulnerability Disclosure (versión 1.0) de PTC

PTC valora la investigación en seguridad

Todas las formas de seguridad son extremadamente importantes para PTC y para los ecosistemas que atendemos. A medida que avanza la convergencia de los sistemas físicos y digitales, asumimos una responsabilidad compartida por desarrollar y mantener sistemas más seguros, defendibles y resilientes. PTC tiene el compromiso de cumplir su parte mediante programas e iniciativas de seguridad eficaces. Como extensión de nuestros propios esfuerzos, PTC desea cooperar con aliados dispuestos a actuar de buena fe. En ese sentido, PTC agradece la valiosa contribución que ofrecen los investigadores en seguridad. Para asegurar un proceso uniforme y simplificado, se presenta el programa coordinado de divulgación de vulnerabilidades.

Ámbito inicial

En principio, este proyecto piloto se centrará en los productos de la marca ThingWorx con el fin de garantizar que se presta total atención a las áreas en las que las vulnerabilidades podrían afectar a entornos industriales y cruciales para la seguridad. Nuestra intención es ampliar el ámbito para incluir más productos a medida que se desarrolla el programa.

Postura respecto a acciones legales

PTC no acometerá acciones legales contra quienes actúen de buena fe y respeten las instrucciones y orientaciones de coordinación que se describen en esta directiva, lo que incluye el cumplimiento de todas las leyes aplicables.

Comunicación con PTC

Para asegurar el control correcto de la información divulgada en ambas direcciones, deben respetarse las siguientes instrucciones:

  • Envíe el informe en inglés a la dirección cvd@ptc.com
  • Utilice nuestra clave pública PGP, disponible en esta página Web, u otros métodos de codificación para cifrar el mensaje.
  • • No incluya información confidencial (distinta de la información relacionada con los datos de la vulnerabilidad) en ninguna captura de pantalla ni otros documentos o contenido que nos facilite.

Cuando se haya recibido su mensaje, un empleado de PTC acusará recibo de este en el plazo de siete (7) días naturales.

Qué se espera de usted

Queremos trabajar con investigadores en seguridad que cumplan las siguientes directrices:

  • Evitar pruebas (o accesos ilegales) en entornos activos (utilice entornos de prueba o desarrollo para realizar pruebas de vulnerabilidad)
  • Cumplir con todas las leyes y normas aplicables
  • No acceder o modificar datos de ninguna cuenta o sistema sobre el que no se tenga el control legal
  • No aprovecharse de la vulnerabilidad o cualquier problema que se descubra; no llevar a cabo acciones desproporcionadas o ilegales
  • Trabajar con PTC en la selección de fechas de divulgación pública de información sobre el descubrimiento de vulnerabilidades para minimizar la posibilidad de riesgos para la seguridad pública, la privacidad y la seguridad en general
    • Informarnos de los planes de divulgación, en su caso, antes de hacer pública la información
    • Implicar a DHS-ICS-CERT, CERT/CC, reguladores pertinentes u otros organismos apropiados cuando proceda
    • Proporcionar datos de cualquier comunicación sobre la vulnerabilidad (y CVE) a los coordinadores de vulnerabilidades
  • Preferencia: los informes correctamente escritos en inglés tendrán más probabilidades de resolverse con rapidez.
  • Preferencia: los informes que incluyan código de prueba de concepto nos permiten establecer mejor las prioridades.

Qué esperar de PTC

Una vez recibida una comunicación, PTC:

  • Acusará recibo de ella en el plazo de siete (7) días naturales.
  • Realizará una evaluación inicial de las conclusiones potenciales para determinar la precisión y la necesidad de aumentar el nivel de responsabilidad y a qué grupo de productos. En esa fase, podrá:
    • Recibir solicitudes de información adicional, o bien
    • Recibir notificación de que la vulnerabilidad no se acepta en el programa por no cumplir los criterios o no proporcionarse suficientes datos. (Puede responder a las notificaciones de no aceptación a través de la dirección cvd@ptc.com)
  • Alcanzará una resolución y tomará las medidas adecuadas en función de la gravedad de la vulnerabilidad.
  • Otorgará al investigador el reconocimiento público si se solicita y siempre que el informe dé como resultado una corrección o comunicación públicas.

En caso necesario, o si no es posible resolver problemas de comunicación o de otro tipo, PTC podrá recurrir a la intervención de terceros imparciales (por ejemplo, CERT/CC, DHS-ICS-CERT o el regulador pertinente) para que ayuden a determinar cómo gestionar mejor la vulnerabilidad.

Nota: La información compartida con PTC se podrá utilizar de la manera que PTC considere oportuna. El envío de información no generará ningún derecho para el remitente ni creará ninguna obligación para PTC.