Nuestra referencia

Página 1 / 8
-
N.º de teléfono
+49 451 882-0

Correo electrónico
malte.berndt@draeger.com

Comunicación de vulnerabilidades e incidentes

product-security@draeger.com

Ciberseguridad
Dräger GDC Gas Detection Connect
03/03/2021
Estimadas señoras, estimados señores:

En Dräger desarrollamos tecnología para la vida. Independientemente del sector en el que operen,
nuestros clientes confían en dicha tecnología y esperan que los productos de Dräger estén
protegidos contra aquellas vulnerabilidades que puedan afectar a la funcionalidad de los productos
y la seguridad, integridad y confidencialidad de la información y los datos electrónicos utilizados
por dichos productos. Por este motivo, la seguridad, integridad y protección de esos datos
delicados de nuestros clientes y de los usuarios de nuestros sistemas están profundamente
arraigadas en nuestros procesos de desarrollo.
La seguridad no es una función o propiedad de un dispositivo individual, ni tampoco es
responsabilidad exclusiva del fabricante del equipo o de la entidad operadora. Se trata de un
empeño conjunto necesario para asegurar que un equipo se pueda integrar de forma segura en su
entorno de destino.

Este documento describe las características de seguridad de Dräger Gas Detection Connect
(GDC).

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 2 / 8

1 Sistema de gestión de la seguridad de la información en Dräger

La ciberseguridad tiene una gran importancia en cada una de las fases del ciclo de desarrollo.
En Dräger trabajamos con un sistema de gestión de la seguridad de la información (SGSI) para
controlar, conservar y mejorar continuamente la seguridad de la información.

2 Descripción general del entorno de destino

Dräger Gas Detection Connect es una potente solución de software que ofrece la posibilidad de
combinar dispositivos de comprobación y detectores de gases portátiles y estáticos con un sistema
backend alojado en la nube. Algunos equipos se pueden conectar directamente, otros pueden
requerir una pasarela adicional, por ejemplo, un teléfono móvil o una pasarela diseñada
específicamente para tal fin.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 3 / 8

Los datos recopilados se muestran en un sistema frontend basado en la red. Esta aplicación web
permite supervisar los valores de medición «en directo» (datos de las mediciones individuales
actuales), así como los datos de progreso. Los datos de progreso se generan automáticamente al
guardar los datos en directo. También se pueden transferir los datos de progreso con registros de
datos a Gas Detection Connect.
Además de los datos en directo y los de progreso también está disponible información de estado.
La información de estado muestra la configuración actual y el estado de los equipos (p. ej., modelo
de sensor o umbral de alarma configurado).

Además, el sistema permite transferir actualizaciones de firmware, así como plantillas de

configuración a las estaciones de comprobación conectadas.
La aplicación Dräger GDC está disponible para Android™ (versión 7 y posteriores) e iOS™ (versión
12 y posteriores). Ofrece la posibilidad de conectarse por Bluetooth con un equipo detector de
gases «inteligente», recabar datos y transferirlos al sistema backend de GDC.
Puede acceder a la aplicación web mediante Google Chrome. Es el principal navegador compatible
con nuestro departamento de desarrollo. En el futuro, Microsoft® Edge también será compatible.

2.1 Software como servicio (Software as a Service, SaaS)

El software como servicio es un componente de la computación en la nube. El modelo SaaS está

basado en el principio de que el software y la infraestructura informática utilizados (servidor, base
de datos, mantenimiento, actualizaciones, soporte), en la medida de lo acordado, son operados
por un proveedor externo y utilizados por los clientes de la aplicación.
Para emplear la solución SaaS, necesita un ordenador apto para Internet y una conexión a Internet.
La aplicación no se instala localmente en el ordenador, sino que el acceso al software se realiza
por medio de un navegador web, como Google Chrome. En este caso, el usuario siempre es el
propietario de los datos. Nosotros o Microsoft® los alojamos y ponemos a su disposición el
almacenamiento de los datos y el acceso a los mismos. Los datos solo se utilizan en el marco de
la extensión estipulada contractualmente.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 4 / 8

3 Seguridad de funcionamiento

3.1 Seguridad de los datos

Dräger GDC emplea el servicio «Platform as a Service» (plataforma como servicio) de la nube
Microsoft® Azure, para poner a disposición del usuario final el software como servicio. Este servicio
está dividido en sistemas backend y frontend, que forman una aplicación coherente. De esta
manera se garantiza que cada aplicación solo pueda acceder a los datos para los que está
autorizada. La comunicación entre las aplicaciones se lleva a cabo exclusivamente a través de
interfaces definidas y seguras (API), de tal manera que el acceso autorizado de los componentes
de la aplicación está siendo controlado en todo momento.
Además, todas las conexiones entre los componentes en la nube y la red de Dräger (servidor bajo
licencia WiBu/LC) están protegidas mediante encriptación TLS-1.2. La autenticación y la
encriptación se basan en certificados X.509 y una administración de usuarios asegurada por
Microsoft®.
El componente de Azure «B2C» se emplea para almacenar los datos de registro correspondientes
y ejecutar la autenticación para aplicaciones en las que se haya llevado a cabo el registro mediante
una combinación de dirección de correo electrónico y contraseña (interfaz en Internet, aplicación
en teléfono móvil). Una vez realizada la autenticación, el componente B2C proporciona al cliente
un JSON-Web-Token que se almacena localmente y permite acceder a las aplicaciones GDC hasta
que se cierre la sesión en el sistema o durante un máximo de 24 horas. La función del identificador
(token) se emplea para asegurar la asignación al cliente y los derechos de acceso.

3.2 Seguridad de sus datos personales

Para Dräger, la seguridad es muy importante. Durante la transferencia, sus datos se encriptan
automáticamente. Nuestras medidas de protección de datos siempre aplican la tecnología más
avanzada.
Dräger se sirve, en parte, de proveedores externos para procesar sus datos. Contamos con
acuerdos contractuales con proveedores y empresas de servicios que garantizan el cumplimiento
de las disposiciones de protección de datos vigentes.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 5 / 8

La cuidadosa selección y comprobación del operador de la infraestructura (Microsoft ® Azure) nos

permite asegurarnos de que el tratamiento de los datos personales durante el servicio en nuestro
nombre no se realice fuera de la UE. Hemos optado por Azure, una infraestructura especialmente
orientada a la seguridad, asegurada por Microsoft®, uno de los líderes mundiales en este sector,
mediante los certificados correspondientes (enlace: https://azure.microsoft.com/de-de/overview/trusted-
cloud/).

3.3 Proceso de desarrollo del software

El software ha sido desarrollado de conformidad con las recomendaciones de Microsoft ®, en

aplicación de la directiva («Desarrollo de aplicaciones seguras en Microsoft Azure») para generar
un ciclo vital de desarrollo seguro.
Asimismo, el desarrollo de aplicaciones móviles para iOS y Android se ha comprobado para
detectar vulnerabilidad conocidas (p. ej., OWASP Top 10 para aplicaciones móviles)
El código de la aplicación se controla permanentemente con inspecciones de seguridad estáticas
(Owasp ZAP) y dinámicas para detectar vulnerabilidades.
Además, los componentes de software de código abierto empleados en la aplicación (aplicaciones
en la nube y aplicaciones para teléfono móvil) se detectan automáticamente durante el proceso de
compilación y se contrastan constantemente con bases de datos como la NIST National
Vulnerability Database y VulnDB. Así, Dräger siempre obtiene información temprana sobre las
nuevas vulnerabilidades detectadas en los componentes empleados y puede adoptar medidas y
aportar actualizaciones de seguridad lo más rápidamente posible.
Las infraestructuras de desarrollo y transmisión están automatizadas en gran medida. Contamos
así, por tanto, con tiempos de autorización rápidos en caso de que se requiera una corrección de
seguridad.

3.4 Interfaz Bluetooth®

El detector de gas transmite los datos de medición al teléfono móvil mediante Bluetooth®.
La interfaz corresponde (como mínimo) a la versión 4 del estándar Bluetooth® Low Energy (BLE).
La conexión por Bluetooth® está encriptada y asegurada mediante una comparación numérica.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 6 / 8

4 Pasarela / nube

4.1 Aplicación Gas Detection Connect

La aplicación está desarrollada para Android™ e iOS. La aplicación funciona principalmente a

modo de pasarela y, por tanto, no almacena datos, exceptuando el necesario almacenamiento
técnico de datos, como la caché temporal en caso de problemas de conexión.
La conexión con la nube Microsoft® Azure se realiza mediante HTTPS.
La aplicación requiere acceso a la ubicación del equipo, los datos de posición no se guardan dentro
de la aplicación.

5 Aplicación web

El acceso a la interfaz web se lleva a cabo mediante un navegador a través de una conexión
HTTPS segura. La conexión debe cumplir, como mínimo, el estándar TLS 1.2. Las solicitudes de
conexión con una versión inferior siempre serán rechazadas. A continuación, el usuario lleva a
cabo la autenticación respecto al sistema de backend con una combinación de nombre de usuario
y contraseña. La contraseña inicial para usuarios nuevos se envía por correo electrónico mediante
Sendgrid, un componente de Azure. La cuenta de servicio GDC de Sendgrid no está autorizada
para enviar mensajes por correo electrónico; todas las funciones para recoger información de
seguimiento y con fines de análisis están desactivadas.
Después del primer inicio de sesión, el sistema requiere al usuario que cambie la contraseña
porque, de lo contrario, no se puede usar la aplicación. El periodo de validez de la contraseña
inicial no está limitado; el cliente es responsable de las direcciones de los destinatarios y el
control del primer inicio de sesión para modificar la contraseña.

6 Test de penetración

Se ha llevado a cabo un test de penetración. Todos los resultados se han valorado y, en los
casos correspondientes, corregido.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 7 / 8

7 Administración de parches

Partimos de la base de que se aportan actualizaciones a intervalos regulares, por ejemplo, cada
3 meses. La implementación de GDC se ha centrado en la puesta a disposición sencilla de nuevas
versiones. Así es posible poner a disposición rápidamente una nueva versión si fuera necesario.
Dräger facilita actualizaciones para la aplicación GDC a través de las correspondientes tiendas
oficiales de aplicaciones. El usuario debe instalarlas si el sistema operativo no realiza una
actualización automática. El cliente no tiene que realizar ninguna acción para las actualizaciones
de la aplicación en la nube.

8 Control de vulnerabilidades
En Dräger sabemos que es decisivo comprobar las posibles vulnerabilidades de la información de
acceso público. Nuestro equipo de seguridad de los productos supervisa numerosas fuentes de
información para detectar las vulnerabilidades publicadas en componentes de terceros y las asigna
a los posibles productos de Dräger pertinentes. Estas fuentes incluyen la National Vulnerability
Database (NVD), la lista CVE de MITRE, VulnDB y distintos canales RSS, listas de correos y sitios
web específicos de los fabricantes. Asimismo, Dräger es miembro de la Alianza Alemana por la
Ciberseguridad, que informa rápidamente sobre las amenazas y vulnerabilidades actuales.

9 Notificación de vulnerabilidades y advertencias de seguridad

En Dräger invertimos mucho trabajo y compromiso en la seguridad de nuestros equipos.

No obstante, somos conscientes de que todos los equipos pueden presentar vulnerabilidades no
conocidas. Como apoyo a nuestro trabajo de desarrollo, Dräger exhorta y apoya a los
investigadores de seguridad y a los clientes para que nos informen responsablemente acerca de
potenciales vulnerabilidades y lagunas de protección de datos en nuestros productos.

En este sentido, Dräger gestiona una página web (http://static.draeger.com/security/) para la

seguridad de los productos, en la que se pueden encontrar datos de contacto e información sobre
el procedimiento de comprobación y comunicación de vulnerabilidades.
Además, en esta página de seguridad de los productos publicamos advertencias de seguridad que
contienen información sobre amenazas y soluciones para nuestros productos.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 8 / 8

Si le surgen problemas con nuestros productos que no supongan vulnerabilidades ni lagunas de

protección de datos, o si detecta algún otro tipo de problemas que pudieran afectar a la seguridad
del usuario o del operario, diríjase a su representante comercial y de servicio técnico local.

Dräger Safety AG & Co. KGaA
Revalstraße 1
23560 Lübeck, Alemania
Tel. +49 451 882-0
Fax +49 451 882-2080
info@draeger.com
www.draeger.com
N.º de IVA DE812128834
N.º reg. RAEE DE13636930
Datos bancarios:
Commerzbank AG, Lübeck
IBAN DE29 2304 0022 0014 6803 00
BIC COBADEFF230
Deutsche Bank AG, Lübeck
IBAN DE75 2307 0710 0030 2109 00
BIC DEUTDEHH222
Sede social: Lübeck Presidente del consejo de
Registro mercantil: supervisión de Dräger Safety AG &
Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
4097 HL Verwaltungs AG:
Stefan Lauer
Socio colectivo:
Dräger Safety Verwaltungs AG Junta directiva:
Sede social: Lübeck Stefan Dräger (presidente)
Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner