Informar de un problema de ciberseguridad
¿Has identificado un problema de ciberseguridad en nuestra infraestructura o cartera de productos y servicios?
No dudes en ponerse en contacto con nuestros equipos de ciberseguridad y especialmente si deseas informar de una posible vulnerabilidad. Ten en cuenta que solo se pueden considerar los correos electrónicos enviados en inglés y es preferible la comunicación cifrada.
Contacto para Productos y Servicios
Correo electrónico: OT_disclosure@siemensgamesa.com
Clave pública PGP y huella digital: F664 188E F570 4E20 67F0 B5B5 C41A 8534 ECCC B6F4
Correo electrónico: OT_disclosure@siemensgamesa.com
Clave pública PGP y huella digital: F664 188E F570 4E20 67F0 B5B5 C41A 8534 ECCC B6F4
Contacto para Sistemas e Infraestructura Corporativa
Correo electrónico: IT_disclosure@siemensgamesa.com
Clave pública PGP y huella digital: AFD0 369A A14A 83A9 A2B1 E7B7 15D8 8F52 8384 A252
Correo electrónico: IT_disclosure@siemensgamesa.com
Clave pública PGP y huella digital: AFD0 369A A14A 83A9 A2B1 E7B7 15D8 8F52 8384 A252
Por favor, considera las siguientes pautas de la Política de Divulgación de Vulnerabilidades para un reporte correcto:
Pautas generales
- Notificar a Siemens Gamesa lo antes posible tras descubrir un problema de ciberseguridad real o potencial.
- Hacer todo lo posible para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
- Probar productos sin afectar a los clientes, o recibir permiso / consentimiento de los clientes antes de participar en pruebas de vulnerabilidad contra sus dispositivos / software, etc.
- Proporcionar a Siemens Gamesa un plazo razonable para resolver el problema y no divulgarlo públicamente antes de un plazo mutuamente acordado.
- No comprometer intencionalmente la propiedad intelectual u otros intereses comerciales o financieros de ningún personal o entidad de Siemens Gamesa, o de terceros.
- Cumplir con las leyes aplicables y cumplir con todos los requisitos de licencia de software aplicables.
- Una vez identificada la existencia de una vulnerabilidad o acceder a algún dato sensible (incluyendo información de identificación personal, información financiera, información de propiedad o secretos comerciales de cualquier parte), el análisis debe detenerse y notificar a Siemens Gamesa inmediatamente, sin revelar los datos obtenidos.
- Purgar los datos no públicos almacenados de Siemens Gamesa tras informar de un problema.
- La información recomendada para una divulgación correcta y detallada del problema debe incluir:
- Descripción clara y detallada del problema.
- Prueba de la existencia del problema (captura de pantalla, enlace, etc.).
- Información clara y detallada sobre cómo se ha descubierto el problema.
- Línea de tiempo o alguna información sobre el momento en que se descubrió el problema.
- Cualquier tipo de información que se considere necesaria para localizar y resolver el problema de la manera más rápida y eficiente posible.
Acciones no permitidas
- El análisis de vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo y las vulnerabilidades identificadas no deben explotarse de ninguna manera. Se deben evitar varias acciones, entre ellas:
- Técnicas de ingeniería social
- Intentos de intrusión física como el acceso a las instalaciones
- Comprometer el sistema y mantener persistencia en él
- Cambiar los datos a los que se accede aprovechando la vulnerabilidad
- Uso de malware
- Usar la vulnerabilidad de cualquier manera más allá de probar su existencia
- Usar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o usar el exploit para "pivotar" a otros sistemas
- Uso de la fuerza bruta para obtener acceso a los sistemas
- Compartir la vulnerabilidad con terceros
- Realización de ataques de Denegación de Servicio
Premios, recompensas y agradecimientos
- Siemens Gamesa sinceramente agradece y aprecia el trabajo de divulgación de problemas de ciberseguridad detectados, pero actualmente no considera ninguna recompensa económica ni reconocimiento público.