NVIDIA se toma muy en serio las amenazas para la seguridad y se esfuerza para evaluarlas y neutralizarlas rápidamente. Cuando se notifica una amenaza para la seguridad, NVIDIA pone en marcha los recursos necesarios para analizar, validar y aportar las acciones correctivas que permitan resolver el problema.
NVIDIA PSIRT – Gestión de vulnerabilidades Notificación de vulnerabilidad potencial de seguridad Divulgación coordinada de vulnerabilidades Agradecimientos de NVIDIA Suscripción a los boletines de seguridad y las actualizaciones Consultas de los medios o PR relativas a la información sobre vulnerabilidades de seguridad de NVIDIA Proceso de gestión de vulnerabilidades de NVIDIA PSIRT Valoración de riesgos de seguridad con el sistema común de puntuación de vulnerabilidades (CVSS) Política de comunicación de vulnerabilidades Boletines de seguridad Aviso de seguridad Solución de vulnerabilidades Participación en NVIDIA PSIRT Derechos del cliente: Garantías, soporte y mantenimiento Descargo de responsabilidad
El equipo de respuesta a incidentes de seguridad de productos (Product Security Incident Response Team, PSIRT) de NVIDIA tiene por objetivo minimizar el riesgo de los clientes derivado de las vulnerabilidades de seguridad ofreciendo información puntual, asistencia y soluciones. NVIDIA PSIRT es un equipo global que gestiona la recepción, investigación, coordinación interna, solución y divulgación de información de vulnerabilidades de seguridad relacionadas con productos NVIDIA.
Una de las principales responsabilidades de NVIDIA PSIRT es coordinar la respuesta y divulgación de todas las vulnerabilidades de productos NVIDIA identificadas externamente.
NVIDIA agradece los informes de investigadores independientes, organizaciones del sector, proveedores, clientes y otras fuentes preocupadas por la seguridad de los productos.
Para obtener más información sobre cómo notificar una vulnerabilidad potencial, visita la página Notificar vulnerabilidad.
NVIDIA realiza el máximo esfuerzo para seguir el proceso de divulgación coordinada de vulnerabilidades (Coordinated Vulnerability Disclosure, CVD). El CVD es un proceso mediante el cual los informadores independientes que descubren una vulnerabilidad en nuestros productos contactan directamente con NVIDIA y nos permiten investigar y solucionar el problema antes de divulgarlo públicamente.
NVIDIA PSIRT colaborará con el informador durante el proceso de investigación de la vulnerabilidad y le mantendrá informado sobre su progreso. Si el informador lo autoriza, NVIDIA PSIRT podrá reconocer su aportación en la página de agradecimientos por haber encontrado una vulnerabilidad válida e informado en privado del problema. Una vez que NVIDIA publica una actualización o información de mitigación, el informador puede comentar públicamente la vulnerabilidad.
Seguir el proceso CVD de NVIDIA nos permite proteger a nuestros clientes y, al mismo tiempo, coordinar la divulgación pública y reconocer adecuadamente el descubrimiento de los informadores.
Si una vulnerabilidad afecta al producto de un proveedor, NVIDIA PSIRT lo comunicará directamente a este, se coordinará con el informador o implicará a un centro de coordinación independiente.
Aunque NVIDIA actualmente no tiene ningún programa de caza de errores, mostramos nuestro reconocimiento cuando se aborda un problema de seguridad notificado de forma externa bajo nuestra política coordinada de divulgación de vulnerabilidades.
La lista de boletines de seguridad publicados se encuentra en la página Boletines de seguridad de NVIDIA.
Se recomienda a los clientes que se suscriban a las notificaciones de boletines de seguridad de NVIDIA para estar informados de las novedades y revisiones principales en materia de seguridad.
Puedes suscribirte a las notificaciones aquí.
Para obtener información sobre los boletines de seguridad de NVIDIA, consulta la sección Boletín de seguridad de este documento.
Dirígete a uno de los contactos de comunicación corporativa que se indican aquí.
El siguiente gráfico ilustra el proceso NVIDIA PSIRT a alto nivel.
Figura 1. Proceso del equipo de respuesta a incidentes de seguridad de productos de NVIDIA (NVIDIA PSIRT)
NVIDIA utiliza actualmente la versión 3.1 del sistema común de puntuación de vulnerabilidades (Common Vulnerability Scoring System, CVSS v3.1) para evaluar la gravedad de las vulnerabilidades identificadas. CVSS utiliza un método de valoración y un lenguaje comunes para comunicar las características y los efectos de las vulnerabilidades. CVSS tiene por objetivo establecer el grado de gravedad de una vulnerabilidad. El modelo CVSS utiliza tres mediciones o puntuaciones distintas que incluyen cálculos de base, tiempo y entorno con sus respectivos conjuntos de medidas. La norma completa, responsabilidad del Forum of Incident Response and Security Teams (FIRST), se puede consultar en: https://www.first.org/cvss.
NVIDIA utiliza la escala CVSS v3.1 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) para valorar la gravedad como se indica en la siguiente tabla:
NVIDIA se reserva el derecho a no seguir estas pautas en determinados casos, cuando la puntuación CVSS no contemple adecuadamente algún factor adicional.
Cuando corresponda, los boletines de seguridad de NVIDIA incluirán la puntuación básica CVSS v3.1. NVIDIA se centra únicamente en el grupo de métricas de base, ya que aportará el mayor valor a nuestros clientes y representa las características intrínsecas de una vulnerabilidad. La evaluación de riesgos de NVIDIA se basa en una media de riesgo sobre un conjunto variado de sistemas instalados y puede no representar el riesgo real de una instalación concreta.
NVIDIA recomienda recurrir a un profesional de seguridad o TI para evaluar el riesgo de una instalación y calcular la puntuación del entorno con los parámetros concretos de cada red. NVIDIA recomienda a todos los clientes tener en cuenta la puntuación básica y las eventuales puntuaciones de tiempo y entorno que puedan afectar a sus entornos concretos para evaluar el riesgo general. La puntuación general corresponde a un momento en el tiempo y está adaptada a un entorno concreto. Se recomienda utilizar la valoración del problema realizada por un profesional de seguridad o TI y la correspondiente puntuación final para adoptar medidas adecuadas para cada entorno.
NVIDIA utiliza las siguientes pautas para determinar el plan de comunicación adecuado en caso de vulnerabilidad de software propio:
En caso de problema de seguridad en un componente de software de un tercero utilizado por un producto NVIDIA, es posible que se publique un boletín de seguridad. Si se publica un boletín de seguridad para la vulnerabilidad de un componente de software de un tercero, NVIDIA utilizará por lo general la puntuación CVSS comunicada por el creador del componente. En algunos casos, NVIDIA ajustará la puntuación CVSS para reflejar el impacto en su producto.
En la mayoría de los casos, NVIDIA pretende avisar a los clientes cuando se consigue una solución práctica o una actualización de seguridad para una vulnerabilidad de seguridad. El aviso se hace llegar mediante comunicaciones dirigidas o mediante la publicación de un Boletín de seguridad. Antes de su publicación, NVIDIA PSIRT completará primero el proceso de respuesta de la vulnerabilidad y determinará qué soluciones o actualizaciones de software existen para solucionarla o si se planea publicar alguna solución.
Los boletines de seguridad intentan equilibrar la cantidad de información ofreciendo datos suficientes para que los clientes puedan protegerse, pero sin aportar detalles que puedan ser aprovechados por usuarios maliciosos. Los boletines de seguridad de NVIDIA suelen incluir la siguiente información, si corresponde:
NVIDIA no ofrecerá información adicional sobre las vulnerabilidades aparte de la facilitada en el boletín de seguridad y la documentación relacionada (notas sobre la versión, artículos de la base de datos de conocimiento, preguntas frecuentes, etc.). NVIDIA no distribuye código ni pruebas de concepto de las vulnerabilidades identificadas.
Conforme a las prácticas habituales, NVIDIA no comparte con entidades externas las conclusiones de sus pruebas de seguridad internas ni otras actividades relacionadas con la seguridad. Es importante tener en cuenta que toda incursión en los sistemas de producción de seguridad de NVIDIA será considerada un ataque. Si eres un partner OEM, consulta con el responsable del programa de NVIDIA para resolver tus necesidades.
Los boletines de seguridad de NVIDIA se publican en la página Boletín de seguridad. Puedes suscribirte a las notificaciones aquí.
Aviso de seguridad
NVIDIA podrá publicar una comunicación especial para responder de forma rápida y adecuada a divulgaciones públicas cuando la vulnerabilidad haya recibido gran atención pública o tenga gran probabilidad de ser aprovechada maliciosamente. En este caso, NVIDIA podrá acelerar la comunicación incluyendo o no un conjunto completo de parches o soluciones. Esta comunicación se denominará Aviso de seguridad y se publicará en la página Boletín de seguridad.
NVIDIA se toma muy en serio las amenazas para la seguridad y se esfuerza para evaluarlas y neutralizarlas rápidamente. Los tiempos de respuesta dependen de muchos factores, entre los que se incluyen gravedad, producto afectado, ciclo de desarrollo actual, ciclos de control de calidad y necesidad o no de una versión principal para resolver el problema.
La solución puede darse en una o varias de las siguientes formas:
A pesar de lo anterior, NVIDIA no garantiza una solución específica para los problemas y es posible que no todos los problemas identificados dispongan de solución.
Miembro de
NVIDIA es una autoridad de numeración CVE.
Los derechos de los clientes de NVIDIA con relación a la garantía, el soporte y el mantenimiento, incluidas las vulnerabilidades de cualquier producto de software de NVIDIA, se rigen por el acuerdo vigente entre NVIDIA y cada cliente.
La información de esta página web no modifica ni amplía los derechos del cliente ni constituye garantía adicional alguna. Toda información facilitada a NVIDIA con relación a vulnerabilidades de productos NVIDIA, incluidos los datos de los informes de vulnerabilidad de un producto, será propiedad exclusiva de NVIDIA.
Todos los aspectos relacionados con el proceso PSIRT y las políticas de NVIDIA podrán modificarse sin previo aviso en función de cada caso. No se garantiza la respuesta para ningún problema ni clase de problema. El usuario será el único responsable del uso de la información que contenga el documento y del material al que este haga referencia. NVIDIA se reserva el derecho de modificar o actualizar este documento en cualquier momento y sin previo aviso.
TODA LA INFORMACIÓN, LAS ESPECIFICACIONES DE DISEÑO, LAS PLACAS DE REFERENCIA, LOS ARCHIVOS, LOS DIBUJOS, LOS DIAGNÓSTICOS, LAS LISTAS Y OTROS DOCUMENTOS (DENOMINADOS CONJUNTAMENTE O POR SEPARADO "MATERIALES") DE NVIDIA SE ENTREGAN "TAL CUAL". NVIDIA NO OFRECE GARANTÍA ALGUNA, YA SEA EXPLÍCITA, IMPLÍCITA, ESTABLECIDA POR LA LEY O DE NINGÚN OTRO TIPO, CON RESPECTO A LOS MATERIALES Y, HASTA DONDE PERMITE LA LEGISLACIÓN VIGENTE, NVIDIA LOS PROPORCIONA SIN GARANTÍAS DE NINGUNA CLASE, YA SEAN EXPLÍCITAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADECUACIÓN A UN FIN CONCRETO O CUMPLIMIENTO NORMATIVO.
NVIDIA considera que la información suministrada es exacta y fiable en el momento de su publicación, pero no se hace responsable de las posibles consecuencias o infracciones de derechos sobre patentes, u otros derechos de terceros, que pudieran derivarse de su uso. NVIDIA no otorga licencia alguna por implicación, ni de ningún otro modo, bajo ninguna patente o derecho de patente de NVIDIA Corporation. Las especificaciones mencionadas en esta publicación son susceptibles de cambios sin previo aviso. El contenido de este documento sustituye y prevalece sobre cualquier otra información anteriormente suministrada por NVIDIA. No se autoriza el uso de los productos de NVIDIA Corporation como componentes esenciales de dispositivos o sistemas de apoyo o sostenimiento de la vida sin el permiso previo y por escrito de NVIDIA Corporation.