Informar de posibles vulnerabilidades de seguridad de los productos

En TI, damos una gran prioridad a la seguridad de nuestros productos. Sin embargo, como es sabido, ningún producto o sistema del cliente puede ser seguro al 100%, por mucho esfuerzo que se dedique a la seguridad del producto. TI desea estar al tanto de cualquier posible problema de seguridad que afecte a nuestros productos. Esto nos permite tomar las medidas necesarias para solucionarlos con prontitud. El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de TI supervisa el proceso de aceptación y respuesta a los informes de posibles vulnerabilidades de seguridad que involucran nuestros productos de semiconductores de TI, incluidos el hardware, el software y la documentación.

Puede ponerse en contacto con el equipo PSIRT de TI para informar de una posible vulnerabilidad de seguridad en psirt@ti.com. El informe debe redactarse en inglés. TI responderá rápidamente para acusar recibo de su correo electrónico.

La información sobre vulnerabilidades es extremadamente sensible. El equipo PSIRT de TI recomienda de manera enfática que todos los informes de vulnerabilidad de seguridad se envíen cifrados utilizando la clave PGP/GPG del PSIRT de TI:

• Huella dactilar: 898C ECC3 451F 9438 D972  06B6 4C13 1A0F 9AF0 04D8
• Archivo de clave pública (ZIP, 3 KB)

Hay disponible software gratuito para leer y crear mensajes cifrados con PGP/GPG en:

• Gpg4win
• GnuPG

Para ayudar al equipo PSIRT de TI a realizar la evaluación de riesgos potenciales para la seguridad, se recomienda incluir la siguiente información:

• Productos de hardware o software de TI potencialmente afectados (incluida la versión o revisión)
• Cómo y cuándo se descubrió la vulnerabilidad potencial, y quién la descubrió
• Descripción técnica de la posible vulnerabilidad, incluidos (1) abusos conocidos asociados e (2) ID de CVE existentes.
• Su información de contacto, para que TI pueda hacer cualquier pregunta de seguimiento necesaria

Una vez enviado el informe, TI sigue este proceso para evaluar y corregir la posible vulnerabilidad de seguridad:

1. Notificación: TI toma conocimiento de una posible vulnerabilidad de seguridad.
2. Clasificación inicial: TI revisa la presentación para determinar si un producto de TI puede estar afectado y si se ha proporcionado suficiente información.
3. Análisis técnico: TI investiga con más detalle la posible vulnerabilidad notificada   .^[1]
4. Corrección: TI toma las medidas adecuadas para la vulnerabilidad de seguridad verificada del producto.
5. Divulgación: Cuando corresponda, TI divulga información sobre la vulnerabilidad verificada y puede poner a disposición la solución, por ejemplo, en un documento informativo sobre seguridad o en un boletín. 

^{[1] TI puntúa la vulnerabilidad según el estándar CVSS (Common Vulnerability Scoring System) v3.0 para que la vulnerabilidad se priorice adecuadamente para su análisis y corrección. En caso de ser necesario, puede crearse un ID de CVE (Common Vulnerabilities and Exposures) para la vulnerabilidad.}

Como la mayoría de los actores en la industria de la tecnología, el equipo PSIRT de TI sigue una política de gestión responsable.  Nuestra política describe lo que puede esperar de TI y nuestras expectativas de usted. Se basa en la Guía CERT® de divulgación coordinada de vulnerabilidades. Antes de enviar un informe, lea nuestra política porque describe la base de nuestra relación con usted.

A continuación encontrará información sobre vulnerabilidades a disposición del público y nuestros métodos de resolución disponibles.

Las consultas de los medios de comunicación sobre la seguridad de los productos de TI pueden dirigirse a news.ti.com.