Producto
Seguridad

NVIDIA takes security concerns seriously and works to quickly evaluate and address them. Once a security concern is reported, NVIDIA commits the appropriate resources to analyze, validate and provide corrective actions to address the issue.

NVIDIA PSIRT: Administración de Vulnerabilidades

El objetivo del Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de NVIDIA es minimizar el riesgo de los clientes asociado con las vulnerabilidades de seguridad al proporcionar información oportuna, orientación y corrección de vulnerabilidades en nuestros productos. NVIDIA PSIRT es un equipo global que gestiona la recepción, investigación, coordinación interna, corrección y divulgación de información de vulnerabilidad de seguridad relacionada con los productos de NVIDIA.


Una de las responsabilidades clave de PSIRT de NVIDIA es coordinar la respuesta y la divulgación de todas las vulnerabilidades de productos NVIDIA identificadas externamente.

Informar una Posible Vulnerabilidad de Seguridad

NVIDIA fomenta el envío de informes de investigadores independientes, organizaciones de la industria, proveedores, clientes y otras fuentes relacionadas con la seguridad del producto.

Para obtener más información sobre cómo informar de una posible vulnerabilidad, visita la página Informar Vulnerabilidad.

Divulgación Coordinada de Vulnerabilidades

NVIDIA se esfuerza por seguir la Divulgación Coordinada de Vulnerabilidades (CVD). CVD es un proceso por el cual los informadores independientes que descubren una vulnerabilidad en nuestro producto se ponen en contacto con NVIDIA directamente y nos dan la oportunidad de investigar y remediar la vulnerabilidad antes de que el informador divulgue el incidente al público.

NVIDIA PSIRT trabajará junto al informador a lo largo de la investigación de vulnerabilidades y le proporcionará actualizaciones sobre el progreso según corresponda. Con el acuerdo del informador, NVIDIA PSIRT puede reconocer al informador en nuestra página de reconocimiento por encontrar una vulnerabilidad de producto válida e informar de forma privada del problema. Después de que NVIDIA publique una información de actualización o mitigación, el informador podrá analizar la vulnerabilidad públicamente.

Seguir el CVD de NVIDIA nos permite proteger a nuestros clientes y, al mismo tiempo, coordinar las divulgaciones públicas y reconocer adecuadamente a los informadores por su hallazgo.

Ocasionalmente, NVIDIA descubrirá vulnerabilidades de seguridad en productos de otros proveedores. Si esto ocurre, NVIDIA seguirá su proceso estándar de divulgación coordinada de vulnerabilidades y comunicará el problema identificado al proveedor afectado o a un centro de coordinación de terceros.

Reconocimientos de NVIDIA

Si bien NVIDIA actualmente no tiene un programa de recompensas por errores, ofrecemos reconocimiento cuando se aborda un problema de seguridad informado externamente bajo nuestra política coordinada de divulgación de vulnerabilidades.

  • El número de CVE se concede para los problemas resueltos en el código del producto de NVIDIA que requieren que un cliente descargue una corrección. También proporcionamos un reconocimiento en el boletín de seguridad para el problema.
  • Se proporciona una mención en nuestro sitio web de reconocimiento para los problemas de seguridad abordados en nuestros servicios en cloud que no requieren que los clientes descarguen una solución para la protección. PSIRT se reserva el derecho de tomar la decisión caso por caso.

Suscripción a las Actualizaciones y los Boletines de Seguridad

La lista de Boletines de Seguridad publicados se puede encontrar en la página Boletines de Seguridad de NVIDIA.

Se recomienda encarecidamente a los clientes que se suscriban a las notificaciones del Boletín de Seguridad de NVIDIA para estar al tanto de la versión inicial o de las revisiones importantes de los Boletines de Seguridad de NVIDIA.

Puedes suscribirte a las notificaciones aquí.

Para obtener información acerca de los Boletines de Seguridad de NVIDIA, consulta la sección  Boletín de seguridad de este documento.

Consultas de medios o relaciones públicas sobre la información de Vulnerabilidades de Seguridad de NVIDIA

Comunícate con uno de los contactos de Comunicación Corporativa que se enumeran aquí.

Proceso de Administración de Vulnerabilidades de NVIDIA PSIRT

El siguiente gráfico ilustra el proceso NVIDIA PSIRT de forma general.

Figura 1. Proceso del Equipo de Respuesta a Incidentes de Seguridad del Producto de NVIDIA

policies-image-400

Evaluación del Riesgo de Seguridad Mediante el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS)

NVIDIA utiliza actualmente la versión 3.1 del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS v3.1) para evaluar el nivel de gravedad de las vulnerabilidades identificadas. CVSS ofrece un método de puntuación común y un lenguaje común para comunicar las características y los impactos de las vulnerabilidades. CVSS intenta establecer una medida de cuánta preocupación justifica una vulnerabilidad. El modelo CVSS utiliza tres mediciones o puntuaciones distintas que incluyen cálculos básicos, temporales y ambientales, cada uno de los cuales consta de un conjunto de métricas. El estándar completo, que es mantenido por el Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), se puede encontrar en: https://www.first.org/cvss.

NVIDIA sigue la Escala de Clasificación de Gravedad Cualitativa del Documento de Especificación CVSS v3.1 (https://www.first.org/cvss/specification-document) para definir las clasificaciones de gravedad como se muestra en la tabla siguiente:

Clasificación de Impacto en la Seguridad Puntuación CVSS
Crítica 9.0–10.0
Alta 7.0–8.9
Medium 4.0–6.9
Baja 0.1–3.9
None 0.0

NVIDIA se reserva el derecho de desviarse de estas directrices en casos específicos si los factores adicionales no se capturan correctamente en la puntuación CVSS.

Cuándo y dónde corresponda, los Boletines de Seguridad de NVIDIA proporcionarán la Puntuación Básica de CVSS v3.1. NVIDIA se centra únicamente en el grupo de métricas básicas, ya que aportará el mayor valor a nuestros clientes y representa las características intrínsecas de una vulnerabilidad. La evaluación de riesgos de NVIDIA se basa en un promedio de riesgo en un conjunto diverso de sistemas instalados y puede no representar el verdadero riesgo de su instalación local.

NVIDIA recomienda consultar a un profesional de seguridad o de TI para evaluar el riesgo de tu configuración específica y te recomienda calcular la puntuación ambiental en función de los parámetros de tu red. NVIDIA recomienda que todos los clientes tomen en cuenta la puntuación básica y cualquier puntuación temporal y/o ambiental que pueda ser relevante para su entorno a fin de evaluar su riesgo general. Esta puntuación general representa un momento en el tiempo y se adapta a tu entorno específico. Debes usar la evaluación del problema de un profesional de seguridad o de TI y esta puntuación final para priorizar las respuestas en tu propio entorno.

Política de Comunicación de Vulnerabilidades

NVIDIA utiliza las siguientes directrices para vulnerabilidades de software que no son de terceros para determinar el plan de comunicación adecuado:

Clasificación de Impacto en la Seguridad Puntuación CVSS Plan de Comunicación
Crítica 9.0–10.0 Boletín de Seguridad de NVIDIA
Alta 7.0–8.9
Medium 4.0–6.9
Baja 3.9 o inferior Notas de la Versión del Producto

Si hay un problema de seguridad con un componente de software de terceros que se utiliza en un producto NVIDIA, NVIDIA puede publicar un Boletín de Seguridad. Si se publica un Boletín de Seguridad para una vulnerabilidad de componente de software de terceros, NVIDIA normalmente utiliza la puntuación CVSS proporcionada por el creador del componente. En algunos casos, NVIDIA puede ajustar la puntuación CVSS para reflejar el impacto en el producto NVIDIA.

NVIDIA se reserva el derecho de desviarse de estas directrices en casos específicos si los factores adicionales no se capturan correctamente en la puntuación CVSS.

Boletines de Seguridad

En la mayoría de los casos, NVIDIA tiene la intención de notificar a los clientes cuando hay una solución práctica identificada o una actualización de seguridad para una vulnerabilidad de seguridad. La notificación se realiza a través de comunicaciones específicas o mediante la publicación de un Boletín de Seguridad. Antes de publicar el Boletín de Seguridad, NVIDIA PSIRT completará primero el proceso de respuesta a la vulnerabilidad y determinará que existen suficientes actualizaciones de software o soluciones provisionales para solucionar la vulnerabilidad, o se planea la posterior divulgación pública de la corrección para abordar las vulnerabilidades.

Los Boletines de Seguridad intentan equilibrar la cantidad correcta de información proporcionando la suficiente cantidad de datos para que los clientes puedan protegerse a sí mismos, pero no datos detallados que permiten a los usuarios malintencionados aprovechar la información. Los Boletines de Seguridad de NVIDIA normalmente incluirán la siguiente información cuando corresponda:

  1. Productos y versiones afectados
  2. Identificador de la Enumeración de vulnerabilidades comunes (CVE) de la vulnerabilidad (consulta https://cve.mitre.org)
  3. Breve descripción de la vulnerabilidad y el impacto potencial si se aprovecha
  4. La clasificación de gravedad del sistema de puntuación de vulnerabilidades comunes (CVSS) para la vulnerabilidad (consulta  https://www.first.org/cvss/user-guide.html )
  5. Detalles de corrección, como la actualización de seguridad, la mitigación u otra acción requerida por el cliente
  6. Crédito al informador de la vulnerabilidad identificada y reconocimiento por trabajar con NVIDIA en la Divulgación Coordinada de Vulnerabilidades

NVIDIA no proporcionará información adicional sobre los detalles de las vulnerabilidades más allá de lo que se proporciona en el Boletín de Seguridad y la documentación relacionada, como notas de la versión, artículos de la base de conocimiento, preguntas frecuentes, etc. NVIDIA no distribuye código de aprovechamiento ni de prueba de concepto para las vulnerabilidades identificadas.

De acuerdo con las prácticas de la industria, NVIDIA no comparte los hallazgos de las pruebas de seguridad interna ni otros tipos de actividades de seguridad con entidades externas. Es importante tener en cuenta que cualquier escaneo de los sistemas de producción de seguridad de NVIDIA se considerará un ataque. Si eres un socio OEM, coordina tus necesidades con el administrador de programas NVIDIA.

Los boletines de seguridad de NVIDIA se publican en la página boletín de seguridad.  Puedes suscribirte a las notificaciones aquí.

Aviso de Seguridad

NVIDIA puede publicar una comunicación especial para responder de forma rápida y oportuna a las divulgaciones públicas en las que la vulnerabilidad puede haber recibido una atención pública significativa, es probable que se pueda aprovechar o se espera que se aproveche activamente. En tal caso, NVIDIA puede acelerar la comunicación y puede o no incluir un conjunto completo de parches o soluciones alternativas.  Esto se etiquetará como un Aviso de Seguridad y se publicará en la página Boletín de Seguridad.

Corrección de Vulnerabilidades

NVIDIA se toma en serio las preocupaciones de seguridad y trabaja para evaluarlas y abordarlas de manera oportuna. Los plazos de respuesta dependerán de muchos factores, entre los que se incluyen: la gravedad, el producto afectado, el ciclo de desarrollo actual, los ciclos de control de calidad y si el problema solo se puede actualizar en una versión principal. 

La corrección puede adoptar una o varias de las siguientes formas:

  1. Un nuevo lanzamiento
  2. Una actualización de seguridad proporcionada por NVIDIA
  3. Instrucciones para descargar e instalar una actualización o revisión de un tercero
  4. Una solución alternativa para mitigar la vulnerabilidad

No obstante lo anterior, NVIDIA no garantiza una resolución específica de los problemas y no todos los problemas identificados pueden ser abordados.

Participación de NVIDIA PSIRT

Orgulloso miembro de

NVIDIA es una autoridad de Numeración de CVE.

Derechos del Cliente: Garantías, Soporte y Mantenimiento

Los derechos de los clientes de NVIDIA con respecto a las garantías y el soporte y mantenimiento, incluidas las vulnerabilidades, en cualquier producto de software de NVIDIA se rigen por el acuerdo aplicable entre NVIDIA y cada cliente.

Las declaraciones en esta página web no modifican ni amplían ningún derecho del cliente ni crean ninguna garantía adicional. Cualquier información proporcionada a NVIDIA con respecto a las vulnerabilidades en los productos NVIDIA, incluida toda la información en un informe de vulnerabilidad del producto, se convertirá en la única información de NVIDIA.

Aclaración

Todos los aspectos del proceso y las políticas de PSIRT de NVIDIA están sujetos a cambios sin previo aviso y caso por caso. No se garantiza la respuesta para ningún problema específico ni clase de problemas. El uso de la información en el documento o los materiales vinculados desde el documento es bajo tu propio riesgo. NVIDIA se reserva el derecho de cambiar o actualizar este documento sin previo aviso en cualquier momento.

TODAS LA INFORMACIÓN, ESPECIFICACIONES DE DISEÑO, TABLAS DE REFERENCIA, ARCHIVOS, DIBUJOS, DIAGNÓSTICOS, LISTAS Y OTROS DOCUMENTOS DE NVIDIA (JUNTOS Y POR SEPARADO, "MATERIALES") SE PROPORCIONAN “TAL CUAL”. NVIDIA NO OFRECE NINGUNA GARANTÍA, EXPRESA, IMPLÍCITA, LEGAL NI DE OTRO TIPO CON RESPECTO A LOS MATERIALES, Y TODAS LAS CONDICIONES, REPRESENTACIONES Y GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA O CONDICIÓN DE TÍTULO, COMERCIABILIDAD, CALIDAD SATISFACTORIA, IDONEIDAD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN, QUEDAN EXCLUIDAS EN LA MEDIDA MÁXIMA PERMITIDA POR LA LEY.

Se cree que la información es precisa y confiable en el momento en que se proporciona. Sin embargo, NVIDIA Corporation no asume ninguna responsabilidad por las consecuencias del uso de dicha información o por cualquier infracción de patentes u otros derechos de terceros que puedan resultar de su uso. No se concede ninguna licencia por implicación o de otro modo en virtud de ninguna patente o derechos de patente de NVIDIA Corporation. Las especificaciones mencionadas en esta publicación están sujetas a cambios sin previo aviso. Esta publicación sustituye y reemplaza toda la información suministrada anteriormente. Los productos de NVIDIA Corporation no están autorizados para su uso como componentes críticos en dispositivos o sistemas de soporte vital sin la aprobación expresa por escrito de NVIDIA Corporation.