Twitter / X icon
Un desarrollador líder mundial de software inteligente de VMS y PSIM
Dónde comprar
Contáctenos
Inicio / Legal / Política de Divulgación de Vulnerabilidades de AxxonSoft

Política de Divulgación de Vulnerabilidades de AxxonSoft

1. Alcance

Esta política se aplica a todas las vulnerabilidades descubiertas en productos y servicios de AxxonSoft, incluyendo, pero no limitado a, Axxon One, Axxon PSIM, License Server, Soluciones en la Nube y otros componentes listados en nuestra documentación oficial de productos.

2. Reporte de una Vulnerabilidad

ISi considera haber encontrado una vulnerabilidad de seguridad en un producto o servicio de AxxonSoft, notifíquenos de inmediato enviando un correo a security@axxonsoft.com.
Recomendamos encarecidamente el cifrado utilizando nuestra clave PGP.

Al enviar un reporte, por favor incluya:

  • Producto y versión afectados.
  • Descripción de la vulnerabilidad y su impacto potencial.
  • Pasos para reproducirla (PoC si es posible).
  • Remediación sugerida (si se conoce).
  • Cronograma de divulgación preferido (si aplica).

3. Nuestro Compromiso y Cronograma de Respuesta

  • Acuse de recibo: Confirmaremos la recepción de su reporte dentro de 2 días hábiles.
  • Evaluación: Evaluaremos el problema dentro de 7 días hábiles y determinaremos su alcance/gravedad.
  • Actualizaciones: Proporcionaremos informes de progreso al menos cada 30 días hasta la resolución.
  • Publicación: Si se acepta, asignaremos un ID CVE y publicaremos un Registro CVE junto con un Aviso de Seguridad de AxxonSoft.

Si una vulnerabilidad está siendo explotada activamente, podremos acelerar este cronograma.

4. Qué Consideramos una Vulnerabilidad

Generalmente reconocemos las siguientes como vulnerabilidades:

  • Errores de seguridad en memoria, fallas de inyección, XSS, CSRF, escalamiento de privilegios, debilidades en autenticación/autorización, configuraciones inseguras con impacto en seguridad, divulgación de información, fallas en la cadena de suministro que afectan directamente a productos de AxxonSoft.

Generalmente no consideramos las siguientes como vulnerabilidades:

  • Sugerencias de mejores prácticas o endurecimiento sin impacto directo en la seguridad.
  • Ataques físicos, ingeniería social, dispositivos perdidos o robados.
  • Denegación de servicio por agotamiento de recursos sin una falla específica.
  • Problemas en productos al final de su ciclo de vida (a menos que se indique lo contrario).
  • Vulnerabilidades en software de terceros que no es mantenido por AxxonSoft.

5. Asignación de ID CVE

Como Autoridad de Numeración CVE (CNA), AxxonSoft asigna IDs CVE a vulnerabilidades validadas en nuestros productos.

  • Un ID CVE puede reservarse anticipadamente durante la coordinación y permanecerá RESERVADO hasta su publicación.
  • Solo las vulnerabilidades dentro del alcance CNA de AxxonSoft son elegibles. Los reportes fuera de este alcance se remitirán a la CNA correspondiente o a la CNA raíz.

6. Divulgación Coordinada

Nuestro periodo estándar de divulgación es de hasta 90 días desde el acuse de recibo, sujeto a cambios por acuerdo mutuo según la gravedad y complejidad.

Trabajamos con los investigadores para coordinar la divulgación pública, asegurando tanto correcciones oportunas como la reducción de riesgos para los clientes.

7. Reconocimiento

Con el permiso del investigador, reconoceremos las contribuciones en el aviso de seguridad correspondiente y en el Registro CVE.

8. Programa de Recompensas por Errores

Actualmente, AxxonSoft no opera un programa público de recompensas por errores y no ofrece recompensas monetarias por reportes de vulnerabilidades.

Sin embargo, valoramos enormemente las contribuciones de la comunidad de investigación en seguridad y reconocemos públicamente a los investigadores que reportan problemas de buena fe.

9. Puerto Seguro

Si usted sigue esta política y actúa de buena fe:

  • No tomaremos acciones legales en su contra.
  • Consideramos que la investigación de seguridad realizada bajo esta política está autorizada.

La investigación de buena fe excluye actividades que:

  • Involucren acceder, modificar o extraer datos más allá de lo necesario para demostrar la vulnerabilidad.
  • Perjudiquen intencionalmente la confidencialidad, integridad o disponibilidad de los servicios de AxxonSoft o de los datos de los clientes.

10. Contacto