Producto
Seguridad

NVIDIA se toma muy en serio las amenazas para la seguridad y se esfuerza para evaluarlas y neutralizarlas rápidamente. Cuando se notifica una amenaza para la seguridad, NVIDIA pone en marcha los recursos necesarios para analizar, validar y aportar las acciones correctivas que permitan resolver el problema.

Índice

Actualizado: Febrero de 2022

NVIDIA PSIRT – Gestión de vulnerabilidades
Notificación de vulnerabilidad potencial de seguridad
Divulgación coordinada de vulnerabilidades
Reconocimientos de NVIDIA
Suscripción a los boletines de seguridad y las actualizaciones
Consultas de los medios o PR relativas a la información sobre vulnerabilidades de seguridad de NVIDIA
Proceso de gestión de vulnerabilidades de NVIDIA PSIRT
Valoración de riesgos de seguridad con el sistema común de puntuación de vulnerabilidades (CVSS)
Política de comunicación de vulnerabilidades
Boletines de seguridad
Aviso de seguridad
Solución de vulnerabilidades
Participación en NVIDIA PSIRT
Derechos del cliente: Garantías, soporte y mantenimiento
Descargo de responsabilidad

NVIDIA PSIRT – Gestión de vulnerabilidades

El equipo de respuesta a incidentes de seguridad de productos (Product Security Incident Response Team, PSIRT) de NVIDIA tiene por objetivo minimizar el riesgo de los clientes derivado de las vulnerabilidades de seguridad ofreciendo información puntual, asistencia y soluciones. NVIDIA PSIRT es un equipo global que gestiona la recepción, investigación, coordinación interna, solución y divulgación de información de vulnerabilidades de seguridad relacionadas con productos NVIDIA.


Una de las principales responsabilidades de NVIDIA PSIRT es coordinar la respuesta y divulgación de todas las vulnerabilidades de productos NVIDIA identificadas externamente.

Notificación de vulnerabilidad potencial de seguridad

NVIDIA agradece los informes de investigadores independientes, organizaciones industriales, clientes y otras fuentes preocupadas por la seguridad de los productos.

Para obtener más información sobre cómo notificar una vulnerabilidad potencial, visita la página Notificar vulnerabilidad.

Divulgación coordinada de vulnerabilidades

NVIDIA realiza el máximo esfuerzo para seguir el proceso de divulgación coordinada de vulnerabilidades (Coordinated Vulnerability Disclosure, CVD). CVD es un proceso mediante el cual los informadores independientes que descubren una vulnerabilidad en nuestros productos pueden contactar directamente con NVIDIA y nos permitan investigar y solucionar el problema antes de divulgarlo públicamente.

NVIDIA PSIRT colaborará con el informador durante el proceso de investigación de la vulnerabilidad y le mantendrá informado sobre su progreso. Si el informador lo autoriza, NVIDIA PSIRT podrá reconocer su aportación en la página de agradecimientos por haber encontrado una vulnerabilidad válida e informado en privado del problema. Una vez que NVIDIA publica una actualización o información de mitigación, el informador puede comentar públicamente la vulnerabilidad.

Seguir el proceso CVD de NVIDIA nos permite proteger a nuestros clientes y, al mismo tiempo, coordinar la divulgación pública y reconocer adecuadamente el descubrimiento de los informadores.

Ocasionalmente, NVIDIA descubrirá vulnerabilidades de seguridad de productos de otros proveedores. Si esto ocurre, NVIDIA seguirá su proceso estándar de divulgación coordinada de vulnerabilidades y comunicará el problema identificado al proveedor afectado o a un centro de coordinación de terceros.

Reconocimientos de NVIDIA

Aunque NVIDIA actualmente no tiene ningún programa de caza de errores, mostramos nuestro reconocimiento cuando se aborda un problema de seguridad notificado de forma externa bajo nuestra política coordinada de divulgación de vulnerabilidades.

  • Se otorga el número CVE para los problemas resueltos en el código de producto de NVIDIA que requieren que el cliente descargue una corrección. También mostramos nuestro reconocimiento en el boletín de seguridad del problema.
  • Se incluye una mención en nuestro sitio web de reconocimiento para los problemas de seguridad tratados en nuestros servicios en la nube que no requieren que los clientes descarguen una corrección para protegerse. PSIRT se reserva el derecho de tomar la decisión en cada caso.

Suscripción a los boletines de seguridad y las actualizaciones

La lista de boletines de seguridad publicados se encuentra en la página Boletines de seguridad de NVIDIA.

Se recomienda a los clientes que se suscriban a las notificaciones de boletines de seguridad de NVIDIA para estar informados de las novedades y revisiones principales en materia de seguridad.

Puedes suscribirte a las notificaciones aquí.

Para obtener información sobre los boletines de seguridad de NVIDIA, consulta la sección Boletín de seguridad de este documento.

Consultas de los medios o PR relativas a la información sobre vulnerabilidades de seguridad de NVIDIA

Dirígete a uno de los contactos de comunicación corporativa que se indican aquí.

Proceso de gestión de vulnerabilidades de NVIDIA PSIRT

El siguiente gráfico ilustra el proceso NVIDIA PSIRT a alto nivel.

Figura 1. Proceso del equipo de respuesta a incidentes de seguridad de productos de NVIDIA (NVIDIA PSIRT)

policies-image-400

Valoración de riesgos de seguridad con el sistema común de puntuación de vulnerabilidades (CVSS)

NVIDIA utiliza actualmente la versión 3.1 del sistema común de puntuación de vulnerabilidades (Common Vulnerability Scoring System, CVSS v3.1) para evaluar la gravedad de las vulnerabilidades identificadas. CVSS utiliza un método de valoración y un lenguaje comunes para comunicar las características y los efectos de las vulnerabilidades. CVSS tiene por objetivo establecer el grado de gravedad de una vulnerabilidad. El modelo CVSS utiliza tres mediciones o puntuaciones distintas que incluyen cálculos de base, tiempo y entorno con sus respectivos conjuntos de medidas. La norma completa, responsabilidad del Forum of Incident Response and Security Teams (FIRST), se puede consultar en: https://www.first.org/cvss .

NVIDIA utiliza la escala CVSS v3.1 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) para valorar la gravedad como se indica en la siguiente tabla:

Valoración de impacto en la seguridad Puntuación CVSS
Crítica 9,0 – 10,0
Alta 7,0 – 8,9
Media 4,0 – 6,9
Baja 0,1 – 3,9
Ninguna 0,0

NVIDIA se reserva el derecho a no seguir estas pautas en determinados casos, cuando la puntuación CVSS no contemple adecuadamente algún factor adicional.

Cuando corresponda, los boletines de seguridad de NVIDIA incluirán la puntuación básica CVSS v3.1. NVIDIA se centra únicamente en el grupo de métricas de base, ya que aportará el mayor valor a nuestros clientes y representa las características intrínsecas de una vulnerabilidad. La evaluación de riesgos de NVIDIA se basa en una media de riesgo sobre un conjunto variado de sistemas instalados y puede no representar el riesgo real de una instalación concreta.

NVIDIA recomienda recurrir a un profesional de seguridad o TI para evaluar el riesgo de una instalación y calcular la puntuación del entorno con los parámetros concretos de cada red. NVIDIA recomienda a todos los clientes tener en cuenta la puntuación básica y las eventuales puntuaciones de tiempo y entorno que puedan afectar a sus entornos concretos para evaluar el riesgo general. La puntuación general corresponde a un momento en el tiempo y está adaptada a un entorno concreto. Se recomienda utilizar la valoración del problema realizada por un profesional de seguridad o TI y la correspondiente puntuación final para adoptar medidas adecuadas para cada entorno.

Política de comunicación de vulnerabilidades

NVIDIA utiliza las siguientes pautas para determinar el plan de comunicación adecuado en caso de vulnerabilidad de software propio:

Valoración de impacto en la seguridad Puntuación CVSS Plan de comunicación
Crítica 9,0–10,0 Boletín de seguridad de NVIDIA
Alta 7,0–8,9
Media 4,0–6,9
Baja 3,9 o inferior Nota sobre la versión del producto

En caso de problema de seguridad en un componente de software de un tercero utilizado por un producto NVIDIA, es posible que se publique un boletín de seguridad. Si se publica un boletín de seguridad para la vulnerabilidad de un componente de software de un tercero, NVIDIA utilizará por lo general la puntuación CVSS comunicada por el creador del componente. En algunos casos, NVIDIA ajustará la puntuación CVSS para reflejar el impacto en su producto.

NVIDIA se reserva el derecho a no seguir estas pautas en determinados casos, cuando la puntuación CVSS no contemple adecuadamente algún factor adicional.

Boletines de seguridad

En la mayoría de los casos, NVIDIA pretende avisar a los clientes cuando se consigue una solución práctica o una actualización de seguridad para una vulnerabilidad de seguridad. El aviso se hace llegar mediante comunicaciones dirigidas o mediante la publicación de un Boletín de seguridad. Antes de su publicación, NVIDIA PSIRT completará primero el proceso de respuesta de la vulnerabilidad y determinará qué soluciones o actualizaciones de software existen para solucionarla o si se planea publicar alguna solución.

Los boletines de seguridad intentan equilibrar la cantidad de información ofreciendo datos suficientes para que los clientes puedan protegerse, pero sin aportar detalles que puedan ser aprovechados por usuarios maliciosos. Los boletines de seguridad de NVIDIA suelen incluir la siguiente información, si corresponde:

  1. Productos y versiones afectados
  2. Identificador de enumeración común de vulnerabilidad (Common Vulnerability Enumeration, CVE) (consulta https://cve.mitre.org)
  3. Breve descripción de la vulnerabilidad e impacto posible
  4. Valoración de gravedad del sistema común de puntuación de vulnerabilidades (CVSS) (consulta https://www.first.org/cvss/user-guide.html)
  5. Detalles de la solución, como actualizaciones de seguridad, mitigación u otras acciones que debe realizar el cliente
  6. Reconocimiento del informador de la vulnerabilidad identificada y agradecimiento por su colaboración con NVIDIA en la divulgación coordinada de vulnerabilidades

NVIDIA no ofrecerá información adicional sobre las vulnerabilidades aparte de la facilitada en el boletín de seguridad y la documentación relacionada (notas sobre la versión, artículos de la base de datos de conocimiento, preguntas frecuentes, etc.). NVIDIA no distribuye código ni pruebas de concepto de las vulnerabilidades identificadas.

Conforme a las prácticas habituales, NVIDIA no comparte con entidades externas las conclusiones de sus pruebas de seguridad internas ni otras actividades relacionadas con la seguridad. Es importante tener en cuenta que toda incursión en los sistemas de producción de seguridad de NVIDIA será considerada un ataque. Si eres un partner OEM, consulta con el responsable del programa de NVIDIA para resolver tus necesidades.

Los boletines de seguridad de NVIDIA se publican en la página Boletín de seguridad.  Puedes suscribirte a las notificaciones aquí.

Aviso de seguridad

NVIDIA podrá publicar una comunicación especial para responder de forma rápida y adecuada a divulgaciones públicas cuando la vulnerabilidad haya recibido gran atención pública o tenga gran probabilidad de ser aprovechada maliciosamente. En este caso, NVIDIA podrá acelerar la comunicación incluyendo o no un conjunto completo de parches o soluciones.  Esta comunicación se denominará Aviso de seguridad y se publicará en la página Boletín de seguridad.

Solución de vulnerabilidades

NVIDIA se toma muy en serio las amenazas para la seguridad y se esfuerza para evaluarlas y neutralizarlas rápidamente. Los tiempos de respuesta dependen de muchos factores, entre los que se incluyen gravedad, producto afectado, ciclo de desarrollo actual, ciclos de control de calidad y necesidad o no de una versión principal para resolver el problema. 

La solución puede darse en una o varias de las siguientes formas:

  1. Nueva versión
  2. Una actualización de seguridad proporcionada por NVIDIA
  3. Instrucciones para descargar e instalar una actualización o un parche de un tercero
  4. Método alternativo para evitar la vulnerabilidad

A pesar de lo anterior, NVIDIA no garantiza una solución específica para los problemas y es posible que no todos los problemas identificados dispongan de solución.

Participación en NVIDIA PSIRT

Miembro de

First

NVIDIA es una autoridad de numeración CVE.

CVE

Derechos del cliente: Garantías, soporte y mantenimiento

Los derechos de los clientes de NVIDIA con relación a la garantía, el soporte y el mantenimiento, incluidas las vulnerabilidades de cualquier producto de software de NVIDIA, se rigen por el acuerdo vigente entre NVIDIA y cada cliente.

La información de esta página web no modifica ni amplía los derechos del cliente ni constituye garantía adicional alguna. Toda información facilitada a NVIDIA con relación a vulnerabilidades de productos NVIDIA, incluidos los datos de los informes de vulnerabilidad de un producto, será propiedad exclusiva de NVIDIA.

Descargo de responsabilidad

Todos los aspectos relacionados con el proceso PSIRT y las políticas de NVIDIA podrán modificarse sin previo aviso en función de cada caso. No se garantiza la respuesta para ningún problema ni clase de problema. El usuario será el único responsable del uso de la información que contenga el documento y del material al que este haga referencia. NVIDIA se reserva el derecho de modificar o actualizar este documento en cualquier momento y sin previo aviso.

TODA LA INFORMACIÓN, LAS ESPECIFICACIONES DE DISEÑO, LAS PLACAS DE REFERENCIA, LOS ARCHIVOS, LOS DIBUJOS, LOS DIAGNÓSTICOS, LAS LISTAS Y OTROS DOCUMENTOS (DENOMINADOS CONJUNTAMENTE O POR SEPARADO "MATERIALES") DE NVIDIA SE ENTREGAN "TAL CUAL". NVIDIA NO OFRECE GARANTÍA ALGUNA, YA SEA EXPLÍCITA, IMPLÍCITA, ESTABLECIDA POR LA LEY O DE NINGÚN OTRO TIPO, CON RESPECTO A LOS MATERIALES Y, HASTA DONDE PERMITE LA LEGISLACIÓN VIGENTE, NVIDIA LOS PROPORCIONA SIN GARANTÍAS DE NINGUNA CLASE, YA SEAN EXPLÍCITAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADECUACIÓN A UN FIN CONCRETO O CUMPLIMIENTO NORMATIVO.

NVIDIA considera que la información suministrada es exacta y fiable en el momento de su publicación. Sin embargo, NVIDIA Corporation no se hace responsable de las posibles consecuencias o infracciones de derechos sobre patentes, u otros derechos de terceras partes, que pudieran derivarse de su uso. NVIDIA no otorga licencia alguna por implicación, ni de ningún otro modo, bajo ninguna patente o derecho de patente de NVIDIA Corporation. Las especificaciones mencionadas en esta publicación son susceptibles de cambios sin previo aviso. El contenido de este documento sustituye y prevalece sobre cualquier otra información anteriormente suministrada por NVIDIA. No se autoriza el uso de los productos de NVIDIA Corporation como componentes esenciales de dispositivos o sistemas de apoyo o sostenimiento de la vida sin el permiso previo y por escrito de NVIDIA Corporation.

Información corporativa
Participar
Noticias y eventos