CloudBlue se esfuerza mucho para garantizar la seguridad y la confiabilidad de todos los productos de CloudBlue. Para llevar la seguridad a nuestro ciclo de vida de desarrollo de software (SDLC), seguimos el Modelo de madurez de Software Assurance (SAMM) metodología. Nuestro SDLC seguro garantiza que las actividades de garantía de seguridad, como las pruebas de penetración, la revisión de código y el análisis de arquitectura, sean una parte integral del esfuerzo de desarrollo.

Seguridad

Contamos con un equipo dedicado responsable de la seguridad de los productos CloudBlue. Desde el comienzo mismo del desarrollo, el equipo de seguridad participa en revisiones de diseño para definir los requisitos de seguridad junto con los requisitos funcionales y realizar análisis de riesgos de la arquitectura.

El equipo de seguridad colabora con los desarrolladores a diario y busca constantemente cualquier problema de seguridad en el código base de CloudBlue. El equipo de seguridad también construye la infraestructura de seguridad para Secure SDLC. Para detectar los problemas más comunes, utilizamos el análisis automático integrado en nuestras canalizaciones de desarrollo de software:

  • Cada vez que se envía código nuevo a un repositorio, se realiza un análisis automático de Prueba de seguridad de aplicaciones estáticas (SAST).
  • Para las instancias implementadas de los productos CloudBlue, se realiza un análisis de prueba de seguridad de aplicaciones dinámicas (DAST) para detectar problemas de seguridad en tiempo de ejecución.
  • La ejecución del análisis de composición de software (SCA) se utiliza para garantizar que no enviemos nuestro producto con dependencias vulnerables. Realiza un seguimiento automático de las dependencias de terceros y sus licencias para cada componente. Cada vulnerabilidad conocida debe corregirse antes del lanzamiento.

Además, cuando se desarrolla una nueva característica, el equipo de seguridad revisa manualmente su código fuente y realiza pruebas dinámicas utilizando diferentes herramientas estándar de la industria.

Capacitaciones de seguridad

Como parte de la práctica de Educación y orientación de SAMM, cada persona que participa en el ciclo de vida del software recibe instrucciones sobre cómo desarrollar e implementar software seguro. Nuestros desarrolladores son conscientes de los riesgos de seguridad comunes descritos en OWASP Top Ten, y nuestros equipos de I+D reciben formación periódica para reforzar los temas de seguridad utilizando plataformas de formación comerciales, así como clases y materiales desarrollados internamente. La capacitación se lleva a cabo anualmente y se solicita a pedido.

También hemos dado un paso adelante al adoptar la iniciativa Security Champions. Los campeones de seguridad son miembros activos de un equipo con interés en la seguridad y el deseo de contribuir a la seguridad de nuestros productos. Actúan como un elemento de apoyo en el proceso de garantía de seguridad y tienen el rol de Punto Único de Contacto (SPOC) dentro de sus equipos.

Proyecto de seguridad de aplicaciones web abiertas (OWASP)

¡El código abierto es genial! Creemos que el uso de herramientas y estándares abiertos impulsados ​​por la comunidad es una parte esencial del desarrollo de software seguro, especialmente a largo plazo. Es por eso que adoptamos varias herramientas OWASP, las convertimos en parte de nuestro SDLC seguro e hicimos de OWASP SAMM el núcleo de nuestro SDLC seguro. Usando código abierto, nuestro objetivo es:

  • Benefíciese del código abierto mediante el uso de herramientas y estándares impulsados ​​por la comunidad.
  • Contribuya al código abierto verificando que se ajuste a las soluciones empresariales.

Para que el aspecto de seguridad de los productos CloudBlue sea más transparente, seguimos Estándar de verificación de seguridad de aplicaciones (ASVS). ASVS es un marco de requisitos y controles de seguridad impulsado por la comunidad que se centra en definir los controles de seguridad funcionales y no funcionales necesarios para diseñar, desarrollar y probar aplicaciones y servicios web modernos. No tratamos este estándar como una fuente inmutable de verdad, sino como un punto de partida para una discusión sobre un tema de seguridad.

Pruebas de penetración externa

Cuando se envían a los clientes, nuestros productos se convierten en parte de su infraestructura, lo que aumenta la superficie de ataque potencial. Es por eso que nuestros clientes solicitan regularmente a sus propios equipos de seguridad o a equipos externos que realicen pruebas de penetración en nuestros productos para garantizar que la seguridad general de su infraestructura no se vea afectada. Los informes de dichas pruebas nos dan la oportunidad de ver desde el punto de vista del cliente y comprender mejor sus necesidades y requisitos.

Criptografía

Tomamos una serie de medidas para garantizar que los datos de nuestros productos estén encriptados.

Aleatoriedad

Todos los valores que deben ser aleatorios, como las claves de cifrado generadas aleatoriamente y los vectores de inicialización, se generan mediante un generador de pseudonúmeros criptográficamente seguro.

Además de la fuente adecuada de aleatoriedad, se utiliza el siguiente tamaño mínimo de datos aleatorios:

PropósitoEntropía mínima (bits)
Claves criptográficas128+
vector intravenoso128+
ID de sesión80+

Criptografía simétrica

CloudBlue Commerce utiliza el algoritmo Estándar de cifrado avanzado (AES) para cifrar los datos, tal como lo recomienda el Instituto Nacional de Estándares y Tecnología (NIST) para el uso de almacenamiento a largo plazo, y porque a menudo se incluye como parte de los requisitos de cumplimiento del cliente.

Usamos los siguientes modos AES:

  • AES en modo Galois/Contador (GCM)
  • AES en modo Cipher Block Chaining (CBC) con un código de autenticación de mensajes hash (HMAC)

CifraPropósitoFormato de almacenamiento
AES-128-CBC con IV aleatorioAlmacenar datos confidenciales$AES-128-CBC${IV}${Datos cifrados en BASE64}
AES-128-GCM con Nonce único aleatorioAlmacenar y enviar datos confidenciales$AES-128-GCM${Nonce}${Datos cifrados en BASE64}
AES-128-CBC-HMAC con IV aleatorioAlmacenar y enviar datos confidenciales$AES-128-CBC${IV}${Datos cifrados en BASE64}${HMAC BASE64}

Seguridad del transporte

Para proporcionar una transferencia de datos segura a través de la red, CloudBlue Commerce utiliza TLS 1.2 con los siguientes conjuntos de cifrado:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

Certificación

Trabajamos constantemente para ampliar la cobertura de cumplimiento. Actualmente, estamos certificados por ISO27001:2013.

CloudBlue cuenta con políticas y procedimientos para demostrar el cumplimiento del RGPD y los términos del Código de conducta del RGPD de Cloud Security Alliance por parte de CloudBlue y nuestros subprocesadores. Para demostrar el cumplimiento, CloudBlue puede proporcionar las pruebas que se enumeran a continuación:

  • Autoevaluación STAR disponible en el sitio web de Cloud Security Alliance
  • Versión pública de la Política de Seguridad de la Información y Políticas de apoyo
  • Certificado ISO 27001 (requiere NDA)
  • Declaración de privacidad: https://corp.ingrammicro.com/en-us/legal/privacy

Privacidad de datos y protección de datos

CloudBlue es una organización operada a nivel mundial que cumple con diferentes leyes y regulaciones de privacidad de datos, incluido el Reglamento general de protección de datos (GDPR), la Ley de privacidad del consumidor de California (CCPA) y el Código de conducta de GDPR de Cloud Security Alliance. Incorporamos las medidas de seguridad técnicas y organizativas necesarias y velamos por la protección de los derechos del interesado.

Al usar los Servicios, usted acepta que podemos usar los Datos de acuerdo con nuestra Declaración de Privacidad, disponible aquí.

Cada parte reconoce y acepta cumplir con la legislación de privacidad y protección de datos aplicable a su cumplimiento de estos Términos ("Leyes de protección de datos"), como, entre otros, según corresponda, la Ley de Privacidad del Consumidor de California ("CCPA") y la European Reglamento General de Protección de Datos de la Unión (Reglamento (UE) 2016/679) ("GDPR"), incluido el uso, manejo, divulgación, transferencia, intercambio o procesamiento de cualquier forma y para cualquier propósito, cualquier información relacionada con un identificado o identificable individuo ("Datos personales") recibidos de o en nombre de la otra parte, durante la vigencia de estos Términos. Todos los Datos personales divulgados por una parte y procesados ​​por la otra parte como parte de estos Términos son información confidencial de la parte que los divulga y están sujetos a las obligaciones de confidencialidad establecidas en la cláusula 9 de estos Términos.

Usted reconoce que puede aprovechar ciertas funcionalidades de características de la Plataforma para generar información y datos del usuario final para las operaciones comerciales requeridas. Si se solicitan datos de usuarios finales y se ponen a disposición o son accesibles para usted, sus empleados, agentes o contratistas, cumplirá plenamente con todas las leyes, regulaciones y órdenes gubernamentales aplicables, incluidas las relacionadas con los Datos personales y/o la información de identificación personal ( “PII”) y la privacidad de los datos con respecto a los datos que reciba o a los que tenga acceso en virtud de estos Términos o en relación con la prestación de cualquier otro servicio que usted o un cliente reciban. De lo contrario, protegerá la PII y no utilizará, divulgará ni transferirá a través de las fronteras dicha PII a menos que lo autorice el interesado o de conformidad con las leyes aplicables. En la medida en que reciba PII relacionada con el cumplimiento de estos Términos, protegerá la privacidad y los derechos legales de dichos terceros.

Sin perjuicio de cualquier disposición en contrario en estos Términos, CloudBlue puede copiar, modificar, distribuir y utilizar de otro modo los Datos personales recibidos de usted o en su nombre en la medida necesaria con el fin de proporcionar la Plataforma y los Servicios. Usted garantiza y declara que ya tiene u obtendrá, según corresponda, y mantendrá vigentes todos los permisos, consentimientos y autorizaciones que exigen las leyes aplicables para que proporcione o disponga el suministro de Datos personales a Nube Azul. Usted declara y garantiza que tiene plena capacidad y derecho legal para proporcionar y poner a disposición Datos personales de CloudBlue según lo contemplado en estos Términos. No hará que CloudBlue, por acción u omisión, infrinja sus obligaciones legales en virtud de la legislación de privacidad y protección de datos aplicable y en relación con estos Términos.

En la medida en que la CCPA se aplique al cumplimiento de estos Términos por parte de las partes, los Datos personales, tal como se utilizan en estos Términos, incluyen toda la "información personal" tal como se define ese término en la CCPA. Cada parte reconoce y acepta que, con respecto al intercambio de dichos Datos personales con CloudBlue en virtud de estos Términos, CloudBlue es un "proveedor de servicios" tal como se define ese término en la CCPA. Con respecto a los Datos personales que consisten en "información personal" como se define ese término en la CCPA, CloudBlue certifica que comprende que tiene prohibido (a) vender esos Datos personales (tal como se define "vender" en la CCPA), (b) retener, usar o divulgar esos Datos personales para cualquier propósito que no sea el propósito específico de prestar los Servicios o según lo permita la CCPA, incluida la retención, el uso o la divulgación de los Datos personales para un propósito comercial que no sea proporcionar los Servicios, y (c) retener, usar o divulgar los Datos personales fuera de su relación comercial directa con usted.

CloudBlue utiliza el algoritmo del Estándar de cifrado avanzado (AES) para cifrar los datos en reposo. Todos los datos a nivel de almacenamiento están cifrados con AES256 de forma predeterminada. El tráfico se cifra en tránsito utilizando Transport Layer Security 1.2 (TLS) con un cifrado AES-256 estándar de la industria. TLS es un conjunto de protocolos criptográficos estándar de la industria que se utiliza para cifrar la información que se intercambia a través de la red.

La disponibilidad está garantizada al aprovechar nuestra infraestructura en el nivel premium de Azure, que ofrece alta disponibilidad a través de la redundancia regional.

RGPD y procesamiento de datos personales

A los fines del procesamiento de Datos personales que se originan en el Espacio Económico Europeo, que está sujeto al RGPD, CloudBlue acepta incorporar en virtud de la presente cláusula 11.2 un acuerdo de procesamiento de datos (en adelante, "DPA"), cuyos términos son parte integral de estos Términos y se aplica solo si y en la medida en que CloudBlue esté procesando Datos personales como parte de la provisión de la Plataforma y los Servicios (colectivamente, "Servicios en la nube").

Los términos utilizados en este DPA, pero no definidos aquí (si los hay) tienen los significados establecidos en estos Términos, el RGPD o la CCPA, según corresponda, respectivamente.

Cada parte reconoce y acepta que, en la medida en que los Datos personales estén sujetos al RGPD, el cliente es el "controlador de datos" de los Datos personales que CloudBlue procesa en su nombre y CloudBlue es el "procesador de datos".

En la medida en que CloudBlue “trate” (como se define ese término en el RGPD) Datos personales sujetos al RGPD en nombre del cliente, CloudBlue deberá:

  • Solo procesará los Datos personales proporcionados por el cliente de acuerdo con sus instrucciones, sin otros fines que los determinados por el cliente, según sea necesario para cumplir con sus obligaciones establecidas en estos Términos y para cumplir con una obligación legal.

Sin embargo, si en cualquier momento durante la ejecución de este DPA y estos Términos, CloudBlue determina que las instrucciones del cliente parecen ser ilegales o no conformes con la legislación aplicable, CloudBlue notificará sin demora indebida al cliente y esperará a que más instrucciones.

Tome medidas razonables para garantizar la confiabilidad del personal que tiene acceso a los Datos personales procesados ​​como parte del cumplimiento de las obligaciones en virtud de estos Términos y que todo el personal al que CloudBlue revele Datos personales sepa que los Datos personales son información confidencial y están sujetos a las obligaciones establecidas en este DPA y estos Términos.

  • Teniendo en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y la naturaleza de los Datos personales, así como el riesgo y la gravedad para los derechos y libertades de las personas físicas, tomar y mantener durante la ejecución de este DPA medidas técnicas y organizativas apropiadas contra el procesamiento no autorizado o ilegal de esos Datos personales y contra la pérdida o destrucción accidental o daño de los Datos personales. La información adicional sobre las medidas de seguridad implementadas por CloudBlue está disponible en la cláusula 10 anterior de estos Términos, y previa solicitud por escrito a CloudBlue. Al aceptar estos Términos y este DPA, el cliente acepta las medidas de seguridad tomadas e implementadas por CloudBlue.
  • Informar a la mayor brevedad posible al cliente de cualquier solicitud de un interesado para ejercer sus derechos de acceso, rectificación, modificación, limitación del tratamiento o supresión (“derecho al olvido”), portabilidad de los datos, oposición al tratamiento de sus Datos Personales Datos o cualquier otra solicitud del titular de los datos, avisos de terceros, violaciones de datos personales o pérdida de Datos personales del cliente y ayudar y cooperar con el cliente para impedir cualquier consecuencia de los mismos y garantizar el cumplimiento de las Leyes de protección de datos aplicables. El cliente asumirá el costo irrazonable incurrido por CloudBlue en relación con dicha asistencia y cooperación.
  • Brindar asistencia razonable al cliente para permitirle cumplir con sus obligaciones en virtud de las Leyes de protección de datos, incluidas, entre otras, las solicitudes de los interesados, en la medida en que el cliente no tenga acceso a la información relevante y en la medida en que tal la información está disponible para CloudBlue. CloudBlue proporcionará asistencia razonable al cliente en la cooperación o consulta previa con la autoridad de control en relación con el desempeño de sus tareas en virtud de este DPA, en la medida requerida por las Leyes de Protección de Datos. El cliente correrá con los gastos relacionados con dicha asistencia.
  • Al finalizar estos Términos, cesará todo procesamiento de los Datos personales del cliente y eliminará o, a pedido del cliente, devolverá todos los archivos que contengan los Datos personales, a menos que la ley exija la retención de los Datos personales. El cliente correrá con los gastos relacionados con dicha devolución o eliminación de datos. CloudBlue brinda asistencia para la rescisión durante el Período posterior a la rescisión permitido a los clientes (según corresponda)
  • Cualquier cambio relacionado con los servicios en la nube relevantes se comunicará a los clientes por correo electrónico o a los administradores técnicos de cuentas.
  • CloudBlue sigue siendo responsable ante nuestros clientes por el cumplimiento de las obligaciones de nuestro subprocesador.
  • CloudBlue compartirá los acuerdos celebrados con nuestros subprocesadores, en parte, a pedido del cliente, cuando sea necesario para demostrar el cumplimiento.
  • Los clientes de CloudBlue pueden recibir directamente una copia de los datos personales que han proporcionado, en relación con el servicio prestado, en un formato estructurado, de uso común, legible por máquina e interoperable.
  • Los usuarios autorizados pueden solicitar a través del portal del cliente que CloudBlue elimine todos los registros de clientes a través de una eliminación de la base de datos. CloudBlue solo eliminará los datos del cliente bajo instrucciones explícitas de los clientes de acuerdo con nuestros términos estándar. CloudBlue devolverá los datos en un formato estándar al cliente (controlador de datos) previa solicitud sin costo adicional.

El cliente reconoce y acepta que CloudBlue puede necesitar subcontratar cualquiera de sus operaciones de procesamiento con respecto a los Datos personales del cliente a sus afiliados o subcontratistas de terceros ubicados en diferentes países. Para este propósito, al aceptar los términos y condiciones de este DPA y estos Términos, el cliente otorga a CloudBlue una autorización general para utilizar subcontratistas si es necesario para garantizar el desempeño de los Servicios en la nube, las obligaciones de CloudBlue en virtud de estos Términos o para garantizar el cumplimiento de obligaciones legales. Para evitar dudas, CloudBlue solo subcontratará sus operaciones de procesamiento en virtud de este DPA y estos Términos de acuerdo con los requisitos de las Leyes de protección de datos aplicables. Previa solicitud por escrito del cliente, CloudBlue le proporcionará al cliente una lista de los subcontratistas involucrados en el procesamiento de los Datos personales en virtud del presente. El cliente reconoce y acepta que CloudBlue puede necesitar transferir, divulgar o permitir el acceso a los Datos personales procesados ​​como parte de la prestación de los Servicios en la nube a sus afiliados o subcontratistas ubicados en diferentes países, incluso fuera del Espacio Económico Europeo ("EEE ”) con el fin de garantizar el desempeño de los Servicios en la nube y las obligaciones de CloudBlue en virtud de este DPA y estos Términos o para garantizar el cumplimiento de una obligación legal. Al aceptar los términos y condiciones de este DPA y estos Términos, el cliente acepta dichas transferencias de datos. Se puede proporcionar al cliente una lista de las ubicaciones de transferencia de datos previa solicitud por escrito a CloudBlue. Para evitar dudas, CloudBlue acepta que cualquier divulgación, acceso o transferencia fuera del EEE de los Datos personales del cliente procesados ​​en virtud del presente se realizará de conformidad con las Leyes de protección de datos aplicables.

El cliente no facilitará el procesamiento, la transferencia ni el acceso a CloudBlue a ningún Dato personal a menos que, cuando sea necesario, el interesado haya dado su consentimiento para el procesamiento de sus Datos personales en virtud de las Leyes de protección de datos. El cliente reconoce y acepta que tiene la responsabilidad exclusiva de proporcionar la información de transparencia necesaria y obtener todos los consentimientos necesarios de los interesados ​​para el procesamiento de Datos personales en virtud de este DPA y estos Términos. Por lo tanto, el cliente garantiza y declara que cuando se necesita tal transparencia de información y consentimiento, el cliente proporcionó dicha información y obtuvo el consentimiento del sujeto de datos, y previa solicitud por escrito, se proporcionarán copias de dichos consentimientos a CloudBlue antes de transferir los Datos personales para Procesando.

CloudBlue acepta someterse a auditorías o tener un auditor, inspector, regulador y otro representante externo independiente, designado por escrito por el cliente para realizar una auditoría en nombre del cliente a fin de validar el cumplimiento de CloudBlue con sus obligaciones en virtud de este DPA. sin embargo, dicha auditoría sólo podrá ser solicitada con previo aviso por escrito de treinta (30) días hábiles y ejecutada durante los meses siguientes (julio, agosto y septiembre) y sólo una vez cada doce (12) meses. Dicho auditor, inspector, regulador u otro representante externo designado por el cliente estará sujeto a un acuerdo de confidencialidad proporcionado a CloudBlue antes de la auditoría. CloudBlue proporcionará al cliente, a los fines de la auditoría y previa solicitud por escrito, la información razonable necesaria para demostrar el cumplimiento de las obligaciones de CloudBlue en virtud de este DPA, excluyendo cualquier información, documentos o registros relacionados con las relaciones comerciales de CloudBlue con cualquier tercero o los documentos o registros ya auditados por el cliente durante los doce (12) meses anteriores. El cliente deberá llevar a cabo cualquier inspección en una fecha mutuamente acordada, durante el horario laboral normal y sin interferir con el curso de las operaciones comerciales de CloudBlue. Todas estas auditorías correrán por cuenta y cargo exclusivos del cliente.

Sin perjuicio de cualquier disposición en contrario en estos Términos, el cliente deberá indemnizar y eximir a CloudBlue de cualquier responsabilidad, pérdida, reclamo, sanción, daño, costo y gasto de cualquier naturaleza, incluso si los impone la autoridad de control a CloudBlue y que surjan de cualquier reclamaciones, acciones, procedimientos o acuerdos, resultantes del incumplimiento o incumplimiento por parte del cliente de los términos y condiciones de este DPA, estos Términos y/o con las Leyes de Protección de Datos aplicables.

Este DPA entrará en vigencia a partir de la fecha de ejecución de estos Términos y permanecerá en pleno vigor y efecto durante la vigencia de estos Términos. Este DPA terminará automáticamente con la terminación o el vencimiento de los Términos.

Información de procesamiento de datos

A. Las categorías de sujetos de datos cuyos Datos personales pueden procesarse en virtud del presente incluyen, entre otros:

  1. empleados del cliente que tienen cuentas en la Plataforma
  2. revendedores, subrevendedores y el usuario final

B. El tipo de Datos Personales procesados ​​puede incluir: Nombre, Apellido, Dirección, Correo Electrónico, Número de Teléfono y cualquier otra información que el cliente pueda requerir y poner a disposición de CloudBlue con el fin de proporcionar el Servicio.

C. Los Datos Personales serán, en cualquier caso, tratados con el fin de prestar los Servicios.

D. Los Datos Personales se procesarán durante la vigencia de los Términos y según lo requieran las Leyes de Protección de Datos.

E. La persona de contacto de CloudBlue con respecto a esta Sección once (11) es:

Nombre: Aaron Mendelsohn Ingram Micro Data Protection Officer

E-mail: privacidad@ingrammicro.com.

Cómo informar un problema de seguridad

Sobre la politica

Proporcionar un alto nivel de seguridad del producto es una de las principales prioridades de CloudBlue. Creemos que la transparencia de la evaluación de la seguridad nos ayudará a nosotros, a los equipos de seguridad externos y a nuestros clientes a estar en la misma sintonía en lo que respecta a la seguridad en CloudBlue. Estamos listos para trabajar con cualquier persona que envíe informes de vulnerabilidad de buena fe como se describe en esta sección. Es por eso que formalizamos el proceso para manejar las vulnerabilidades de seguridad.

Investigación

Instamos a todos a seguir estas reglas mientras investigan:

  • Cumplir con las leyes aplicables y todos los requisitos de licencia de software aplicables.
  • Haga todo lo posible para evitar las violaciones de la privacidad, la interrupción de los sistemas de producción, la degradación del rendimiento y la pérdida de datos durante las pruebas de seguridad.
  • Utilice los canales de comunicación identificados para informarnos sobre la vulnerabilidad.
  • Mantenga confidencial la información sobre cualquier vulnerabilidad que haya descubierto entre usted y CloudBlue hasta que hayamos tenido 90 días para resolver el problema.

Criterios de vulnerabilidad

La explotabilidad es nuestro criterio general para comenzar a tratar un problema como una vulnerabilidad. En otras palabras, consideramos un error como una vulnerabilidad si el error puede causar un impacto en la confidencialidad, integridad o disponibilidad de nuestro producto. En cualquier otro caso, lo tratamos como un error regular y los plazos proporcionados en la sección Análisis no son aplicables.

Por el término "atacante", nos referimos a un actor malicioso que intenta afectar negativamente la confidencialidad, integridad o disponibilidad de nuestro producto. Asumimos que un atacante es un experto altamente calificado con un conocimiento profundo de nuestro producto y su arquitectura interna, y que las medidas de seguridad que se encuentran bajo el principio de seguridad a través de la oscuridad no tendrán ningún efecto.

Cada error debe ser corregido. Sin embargo, el procedimiento para corregir un error es diferente al de corregir una vulnerabilidad. En la sección Exclusiones a continuación, puede encontrar los problemas informados con más frecuencia que no son vulnerabilidades desde nuestro punto de vista y que posteriormente se tratan como errores regulares.

Exclusiones

  • Exposición de rastro de pila.
  • Exposición de direcciones IP internas.
  • Declaraciones de que el software está desactualizado o es vulnerable sin un código de explotación de prueba de concepto.
  • Vulnerabilidades que no se pueden usar sin involucrar a los usuarios de CloudBlue Commerce, por ejemplo, self-xss o hacer que un usuario pegue el código JavaScript en la consola del navegador.
  • Informes no validados de escáneres de vulnerabilidad web automatizados, como Acunetix, Owasp Zap y Burp Suite.
  • Desajustes de protocolo.
  • Paneles de inicio de sesión expuestos.
  • Faltan indicadores de cookies en cookies que no son de autenticación.
  • Problemas que afectan solo a agentes de usuario o versiones de aplicaciones obsoletas. Solo consideramos exploits en las últimas versiones del navegador para Safari, Mozilla Firefox, Google Chrome, Microsoft Edge e Internet Explorer.
  • Problemas que requieren acceso físico a la computadora o dispositivo de la víctima.
  • Revelación de ruta.
  • Problemas de captura de banners: averiguar qué servidor web usamos, qué versión está en uso, etc.
  • Informes altamente especulativos sobre daños teóricos.

Procedimiento de informes

Reportar

Para informar una vulnerabilidad de seguridad que afecte a los productos de CloudBlue, comuníquese con el equipo de seguridad de aplicaciones de CloudBlue. Respondemos a dichos informes dentro de los tres días hábiles.

Por favor reporte la siguiente información:

  • Una descripción de la vulnerabilidad, incluido el código de explotación de prueba de concepto o los rastros de red (si están disponibles).
  • Detalles del producto afectado, incluida la versión del producto y el componente afectado.
  • Publicidad de la vulnerabilidad, o si ya se ha divulgado públicamente.

Se alienta a todos a informar las vulnerabilidades descubiertas, independientemente de los contratos de servicio o el estado del ciclo de vida del producto. CloudBlue acepta informes de vulnerabilidad de investigadores, grupos industriales, CERT, socios y cualquier otra fuente, ya que CloudBlue no requiere un acuerdo de confidencialidad como requisito previo para recibir informes. CloudBlue respeta los intereses de la parte informante (los informes pueden hacerse anónimos a pedido) y acepta manejar cualquier vulnerabilidad que se crea razonablemente que está relacionada con los productos de CloudBlue en la sección Alcance. CloudBlue sigue las prácticas de Divulgación coordinada de vulnerabilidades (CVD) y, para proteger el ecosistema, solicitamos que quienes nos informen hagan lo mismo.

Para obtener más información sobre CVD, consulte el siguiente documento: La Guía del CERT para la divulgación coordinada de vulnerabilidades.

Análisis

Primero, el equipo de seguridad de aplicaciones de CloudBlue investiga y reproduce la vulnerabilidad. Si es necesario, CloudBlue solicitará más información al reportero.

Durante esta etapa, el equipo de seguridad de aplicaciones de CloudBlue realiza las siguientes acciones:

  • Analiza el impacto en función de los requisitos de seguridad existentes, el alcance y el contexto de la vulnerabilidad.
  • Realiza la etapa de explotación de la vulnerabilidad.
  • Calcula la gravedad de la vulnerabilidad utilizando la puntuación CVSS v3.1.

Según los resultados, el equipo de seguridad de aplicaciones asigna uno de los siguientes niveles de gravedad a la vulnerabilidad:

  • Crítico: Vulnerabilidades que no pueden mitigarse con soluciones de seguridad y requieren una revisión en el plazo de una semana.
  • Medio: vulnerabilidades que se pueden mitigar con las soluciones de seguridad existentes, por ejemplo, WAF, pero que requieren la publicación de una revisión en un plazo de tres semanas.
  • Bajo: vulnerabilidades y problemas que pueden abordarse en la próxima versión de nuestro producto. La versión de revisión puede publicarse en más de tres semanas.

Manejo

CloudBlue realiza el manejo de vulnerabilidades internas en colaboración con los grupos de desarrollo responsables. Durante este tiempo, se mantiene una comunicación regular entre CloudBlue y la parte informante para informarse mutuamente sobre el estado actual y garantizar que la parte informante comprenda la posición de CloudBlue. Si está disponible, se puede proporcionar una corrección de software prelanzada a la parte informante para su verificación.

Divulgación

Después de que el problema se haya analizado con éxito y si es necesaria una corrección, se desarrollarán y prepararán las correcciones correspondientes para su distribución. CloudBlue utilizará los procesos de notificación al cliente existentes para administrar el lanzamiento de parches, que pueden incluir la notificación directa al cliente o el lanzamiento público de un aviso de seguridad que contiene toda la información necesaria.

Una nota de aviso de seguridad de CloudBlue generalmente contiene la siguiente información:

  • La descripción de la vulnerabilidad y su puntuación CVSS v.3.1.
  • La descripción del impacto.
  • La lista de productos afectados conocidos y versiones de software o hardware.
  • Información sobre factores atenuantes y soluciones alternativas.
  • La ubicación de las correcciones disponibles.

Alcance

  • Plataforma de comercio CloudBlue
  • Plataforma CloudBlue Connect

Fuera del ámbito

Entornos de infraestructura con componentes relacionados con las operaciones del producto:

  • Configuración incorrecta del sistema operativo y vulnerabilidades.
  • Cualquier servicio de terceros o servicios alojados por proveedores de terceros.
  • Hallazgos para aplicaciones o sistemas no enumerados en la sección 'Alcance'.
  • Errores de UI y UX y errores ortográficos.
  • Vulnerabilidades de denegación de servicio (DoS/DDoS) a nivel de red.
  • Hallazgos de las pruebas físicas, como el acceso a la oficina, por ejemplo, puertas abiertas o seguir de cerca.
  • Hallazgos derivados principalmente de ingeniería social, por ejemplo, phishing.

Para proteger su privacidad, nunca pase a CloudBlue ninguna información que podamos reconocer como:

  • Información de identificación personal (PII);
  • Datos del titular de la tarjeta de crédito.

Información de contacto

Si cree que ha encontrado una vulnerabilidad de seguridad en uno de nuestros productos, envíenos un correo electrónico a seguridad@cloudblue.com.

Por favor incluya los siguientes detalles en su informe:

  • La descripción de la ubicación y el impacto potencial de la vulnerabilidad.
  • Una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad. El código de explotación de prueba de concepto, las capturas de pantalla y las capturas de pantalla comprimidas son útiles para nosotros.
  • Su nombre o identificador y un enlace para el reconocimiento en nuestro Salón de la Fama o una solicitud de anonimato.

Utilice nuestra clave PGP cuando sea posible para cifrar su informe:

—– COMIENCE EL BLOQUEO CLAVE PÚBLICO PGP—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAweCHgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —–END BLOQUE CLAVE PÚBLICO PGP—–

CloudBlue, una empresa de Ingram Micro, utiliza cookies para mejorar la usabilidad de nuestro sitio. Si continúa utilizando este sitio y/o inicia sesión, acepta el uso de estas cookies. Para obtener más información, visite nuestro Política de Privacidad.
ACEPTO