Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(CSIRTRD-DOC-2023-01) Divulgación Responsble de Vulnerabilidades
(CSIRTRD-DOC-2023-01) Divulgación Responsble de Vulnerabilidades
Divulgación Responsable
De Vulnerabilidades
El Centro Nacional de Cibserseguridad de la República Dominicana (CNCS) se compromete a garantizar
la seguridad de las organizaciones gubernamentales mediante la protección de su infraestructura
tecnológica. De acuerdo a lo establecido en el Decreto presidencial 685-22 emitido el 18 de noviembre
2022; se pone a disposición la Política de Divulgación Responsable de Vulnerabilidades, que tiene como
objetivo brindar los lineamientos para realizar descubrimiento de vulnerabilidades y establecer los
canales adecuados para reportar al Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD).
Resumen
La Política de Divulgación Responsable de Vulnerabilidades describe qué sistemas y tipos de investigación están cubiertos,
cómo remitir los informes de vulnerabilidad y cuánto tiempo deben esperar los investigadores de seguridad antes de divulgar
públicamente las vulnerabilidades. La información enviada bajo esta política se utilizará solo con fines defensivos, para
mitigar o remediar vulnerabilidades. Si los hallazgos incluyen vulnerabilidades descubiertas recientemente que afectan a
todos los usuarios de un producto o servicio y no solo a la organización, podemos compartir su informe con la organización
tercera, donde se manejará bajo un proceso coordinado de divulgación de vulnerabilidades. No compartiremos el nombre o
información de contacto del investigador sin previo conocimiento y aprobación del investigador.
• Investigaciones dirigidas a los sistemas de tecnologías de Quedan fuera del alcance de esta política las
tnformación y servicios asociados con los dominios investigaciones de vulnerabilidades en sistemas o servicios
*.gob.do, *gov.do. en línea del sector privado, sector financiero, sector militar y
organismos castrenses. Debe coordinarse directamente
• Notificar al CSIRT-RD lo antes posible después de descubrir con el CSIRT sectorial u órgano regulador de acuerdo con su
un problema de seguridad real o potencial. política de divulgación o según aplique.
@cncsrd
INVESTIGAR - DESCRUBRIR - REPORTAR
Divulgación Responsable
De Vulnerabilidades
LOS INVESTIGADORES DE SEGURIDAD CIBERNÉTICA DEBEN DE MANERA INMEDIATA:
• Suspender las pruebas que se están ejecutando como parte de su investigación, si durante la misma descubre una
vulnerabilidad o exposición de datos no públicos.
• Notificar sobre el descubrimiento al CSIRT-RD del Centro Nacional de Ciberseguridad según se establece en la sección de
“Informar de una Vulnerabilidad”.
Las investigaciones y reportes que cumplan con los criterios El Centro Nacional de Ciberseguridad se reserva el derecho,
definidos en esta política y que hayan permitido mitigar el de limitar, denegar el acceso o autorización y a tomar otras
efecto que pudo causar la vulnerabilidad reportada, serán medidas apropiadas si un usuario viola los Términos de Uso
reconocidos con atribución y publicados en el Programa de o se involucra en cualquier actividad que viole los derechos
Política de Divulgación Responsable de Vulnerabilidades. En de cualquier persona o entidad, o sea ilegal, ofensivo,
cumplimiento con los términos establecidos en el acápite abusivo, dañino, malicioso o fuera de la buena fe.
anterior, los nombres del o los investigadores solo se
publicará, con previa autorización.
¿QUÉ ESPERAR?
Al compartir su información de contacto con nosotros, nos comprometemos a coordinar con usted de la manera más
abierta y rápida posible. Mantendremos un diálogo abierto para discutir los avances.