X-Sense otorga gran importancia a la seguridad de sus productos y servicios, esforzándose por desarrollar productos seguros y confiables mientras garantiza la protección de la privacidad del usuario. Al mismo tiempo, los investigadores de seguridad juegan un papel crucial en la protección de los productos y consumidores de X-Sense. Hemos establecido una Política de Divulgación de Vulnerabilidades y un proceso integral de gestión de vulnerabilidades de acuerdo con estándares como ISO/IEC 30111 e ISO/IEC 29147. Esto garantiza una respuesta rápida cuando se descubren vulnerabilidades y mejora la seguridad del producto.
- I. Evaluación de la Severidad de la Vulnerabilidad
- X-Sense utiliza prácticas estándar de la industria para evaluar la severidad de las posibles vulnerabilidades de seguridad en sus productos. Por ejemplo, nos referimos al CVSS (Sistema de Puntuación de Vulnerabilidades Comunes), que consta de tres grupos de métricas: Base, Temporal y Ambiental. También animamos a los usuarios a evaluar la puntuación ambiental real basada en sus propias condiciones de red y usarla como la puntuación final de vulnerabilidad en entornos específicos para apoyar las decisiones sobre la implementación de mitigación de vulnerabilidades.
Las diferentes industrias siguen diferentes estándares. X-Sense utiliza la Clasificación de Severidad de Seguridad (SSR) como un método más sencillo para clasificar las vulnerabilidades. Con SSR, categorizamos las vulnerabilidades como Críticas, Altas, Medias, Bajas o Informativas en función de la puntuación general de severidad.
- II. Directrices para la Reporte de Vulnerabilidades
- Si descubre una vulnerabilidad de seguridad en el sistema X-Sense, incluidos, entre otros, los dispositivos X-Sense, la aplicación móvil X-Sense, servicios, nube o seguridad de datos, infórmenos de inmediato.
Por favor, incluya los siguientes detalles en su informe:
Modelo y versión de la vulnerabilidad observada, información del software, IP o página.
Una breve descripción del tipo de vulnerabilidad, por ejemplo: "Esta es una vulnerabilidad que podría hacer que la aplicación se bloquee."
Pasos para reproducir el problema. Estos pasos deben ser benignos, no destructivos y servir como prueba de concepto. Esto ayuda a garantizar que el informe pueda ser abordado rápida y precisamente.
Alternativamente, puede enviar el informe por correo electrónico a support@x-sense.com.
- III. Tiempo de Respuesta
- 1. El equipo de seguridad de X-Sense recibirá el informe de vulnerabilidad y comenzará a evaluar el problema dentro de un día hábil.
2. Las vulnerabilidades críticas serán atendidas dentro de las 24 horas, con una conclusión preliminar y una calificación proporcionadas.
3. Las vulnerabilidades de alto riesgo serán atendidas dentro de tres días hábiles, con una conclusión preliminar y una calificación proporcionadas.
4. Todas las demás vulnerabilidades serán atendidas y calificadas dentro de siete días hábiles. Si el reportero considera que la situación es urgente, puede enviar un correo electrónico a support@x-sense.com. Tras la confirmación de un revisor, el caso será acelerado.
- IV. Declaración de Divulgación de Vulnerabilidades
- La gestión de vulnerabilidades se lleva a cabo a lo largo del ciclo de vida de la versión del producto/software, y X-Sense gestionará las vulnerabilidades para todos los productos hasta la fecha de Fin de Servicio (EOS).
Para proteger a nuestros usuarios, X-Sense no divulgará, discutirá ni confirmará ningún problema de seguridad hasta que se complete una investigación exhaustiva y se publique una actualización. Pedimos amablemente a los reporteros que mantengan las vulnerabilidades confidenciales y no las compartan ni las divulguen a terceros hasta que X-Sense proporcione una solución o parche relevante.
Para apoyar mejor a los clientes en la implementación de parches y la evaluación de riesgos, X-Sense sincronizará el estado de la corrección de vulnerabilidades con las actualizaciones de software. Recomendamos actualizar a la última versión del producto/software o instalar el parche más reciente según las indicaciones de actualización para reducir los riesgos de vulnerabilidad.