No dudes en ponerse en contacto con nuestros equipos de ciberseguridad y especialmente si deseas informar de una posible vulnerabilidad. Ten en cuenta que solo se pueden considerar los correos electrónicos enviados en inglés y es preferible la comunicación cifrada.

Por favor, considera las siguientes pautas de la Política de Divulgación de Vulnerabilidades para un reporte correcto:

• Notificar a Siemens Gamesa lo antes posible tras descubrir un problema de ciberseguridad real o potencial.
• Hacer todo lo posible para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
• Probar productos sin afectar a los clientes, o recibir permiso / consentimiento de los clientes antes de participar en pruebas de vulnerabilidad contra sus dispositivos / software, etc.
• Proporcionar a Siemens Gamesa un plazo razonable para resolver el problema y no divulgarlo públicamente antes de un plazo mutuamente acordado.
• No comprometer intencionalmente la propiedad intelectual u otros intereses comerciales o financieros de ningún personal o entidad de Siemens Gamesa, o de terceros.
• Cumplir con las leyes aplicables y cumplir con todos los requisitos de licencia de software aplicables.
• Una vez identificada la existencia de una vulnerabilidad o acceder a algún dato sensible (incluyendo información de identificación personal, información financiera, información de propiedad o secretos comerciales de cualquier parte), el análisis debe detenerse y notificar a Siemens Gamesa inmediatamente, sin revelar los datos obtenidos.
• Purgar los datos no públicos almacenados de Siemens Gamesa tras informar de un problema.

• La información recomendada para una divulgación correcta y detallada del problema debe incluir:

1. Descripción clara y detallada del problema.
2. Prueba de la existencia del problema (captura de pantalla, enlace, etc.).
3. Información clara y detallada sobre cómo se ha descubierto el problema.
4. Línea de tiempo o alguna información sobre el momento en que se descubrió el problema.
5. Cualquier tipo de información que se considere necesaria para localizar y resolver el problema de la manera más rápida y eficiente posible.

• El análisis de vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo y las vulnerabilidades identificadas no deben explotarse de ninguna manera. Se deben evitar varias acciones, entre ellas:

1. Técnicas de ingeniería social
2. Intentos de intrusión física como el acceso a las instalaciones
3. Comprometer el sistema y mantener persistencia en él
4. Cambiar los datos a los que se accede aprovechando la vulnerabilidad
5. Uso de malware
6. Usar la vulnerabilidad de cualquier manera más allá de probar su existencia
7. Usar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o usar el exploit para "pivotar" a otros sistemas
8. Uso de la fuerza bruta para obtener acceso a los sistemas
9. Compartir la vulnerabilidad con terceros
10. Realización de ataques de Denegación de Servicio

• Siemens Gamesa sinceramente agradece y aprecia el trabajo de divulgación de problemas de ciberseguridad detectados, pero actualmente no considera ninguna recompensa económica ni reconocimiento público.