¿Por qué debería informar vulnerabilidades?

Invitamos cordialmente a todas las personas — ya sea que sean clientes de METTLER TOLEDO o no — a compartir sus valiosos comentarios sobre todos los productos y soluciones de MT. Sus opiniones son fundamentales para nosotros. Le aseguramos que todos los datos, especialmente la información personal, se tratarán con la máxima confidencialidad y sin necesidad de un acuerdo de confidencialidad.

Al informar vulnerabilidades, desempeña un papel vital para ayudarnos a mejorar nuestros productos. Esto nos permite abordar estos problemas con prontitud y mantener informados a nuestros clientes sobre medidas de mitigación, soluciones provisionales y correcciones. Este enfoque colaborativo nos permite fortalecer la solidez y la fiabilidad de los productos y soluciones de MT, y en última instancia permite a nuestros clientes gestionar eficazmente los riesgos de seguridad.

¿Cómo puede informar vulnerabilidades?

Animamos firmemente a todas las personas a informar cualquier vulnerabilidad relacionada con la seguridad en los productos o soluciones de MT. Proporcionar información completa, precisa y detallada ayuda a nuestro Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) a responder de manera más eficaz y eficiente.

Para su comodidad, MT ofrece dos formas sencillas de ponerse en contacto con nosotros. 

1. Correo electrónico a psirt@mt.com

2. Indirectamente a través de nuestro Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/

Ambos canales de comunicación indicados arriba se supervisan de lunes a viernes de 8:00 a 17:00 CET. 

El idioma preferido es el inglés.

¿Quién recibirá el informe?

METTLER TOLEDO garantiza que el informe se ponga a disposición de los especialistas necesarios que están capacitados para abordar el problema descrito. El acceso al informe estará restringido únicamente a los empleados de MT, lo que garantiza que ninguna parte externa pueda verlo.

Además, MT se compromete a mantener privada la información de contacto de la parte informante, a menos que esta solicite específicamente que se divulgue su información.

¿Qué se hará con el informe?

El PSIRT de METTLER TOLEDO es un equipo central e interdisciplinario que revisará a fondo el impacto y la relevancia de la vulnerabilidad informada en los productos y soluciones de MT.

¿Con qué rapidez reaccionará MT PSIRT?

Por lo general, la recepción de una vulnerabilidad informada se confirmará en un plazo de dos días hábiles. ¡Gracias por su dedicación a mejorar la seguridad de los productos de MT!

¿Cuál es el enfoque para solucionar el problema?

En METTLER TOLEDO, abordar los problemas de seguridad suele implicar alinear nuestros procesos de desarrollo de seguridad y protección con los requisitos industriales, lo que puede afectar el plazo para implementar mitigaciones o correcciones. Agradecemos su paciencia durante este proceso y, si lo desea, mantendremos una comunicación estrecha con la parte reportante.

Dado que muchos componentes y sistemas de MT están altamente integrados en la infraestructura de nuestros clientes, pedimos que la parte reportante coordine con nosotros cualquier divulgación de información. Esto garantiza que la información no se divulgue prematuramente, antes de que se hayan implementado las medidas de mitigación, soluciones alternativas o correcciones reales adecuadas.

¡Gracias por su comprensión y cooperación!

¿Cómo se informará al público del resultado?

Para las vulnerabilidades clasificadas como Críticas o Altas, METTLER TOLEDO solicitará un número CVE (Common Vulnerabilities and Exposures), y los avisos de seguridad se publicarán en nuestra plataforma asociada, CERT@VDE. Para las vulnerabilidades clasificadas como Medias y Bajas, la información se incluirá en las notas de la versión de la siguiente versión del producto.

Los clientes pueden registrarse para recibir un feed RSS/Atom o pueden consultar directamente los productos y soluciones de MT en CERT@VDE.

En casos extremos, como cuando la seguridad funcional esté en riesgo, se contactará directamente a los clientes afectados lo antes posible. Evaluamos cuidadosamente cada vulnerabilidad y seguimos una política de divulgación responsable. En raras ocasiones, METTLER TOLEDO también puede proporcionar comentarios sobre vulnerabilidades que no afectan a los productos y soluciones de MT.

¿Qué contiene el aviso?

Un aviso proporciona hechos relevantes y un historial de la vulnerabilidad, garantizando que los clientes y las partes interesadas estén bien informados.

Consulte una guía para obtener información valiosa (toda la información es voluntaria)

· Contacto personal (Nombre, Organización, Correo electrónico, Teléfono, País)

· Descripción de la vulnerabilidad (efecto, cómo reproducirla, archivos de registro, pcap, CWE-ID, CVE-ID si está disponible)

· Nombre del producto afectado

· Versión de software del producto afectado

· Número de serie del producto afectado

· Comentarios adicionales

· Divulgación (¿Planea divulgarla, o la vulnerabilidad ya ha sido divulgada?)

· ¿Podemos o debemos contactarle?

Software de código abierto

En METTLER TOLEDO, apoyamos plenamente el concepto de software de código abierto como un componente vital de la transformación digital.

Nuestro compromiso es beneficiar a nuestros clientes, empleados y a la comunidad en general, al mismo tiempo que contribuimos activamente a este ecosistema colaborativo.


Si tiene alguna pregunta sobre el uso de código abierto y la gestión de licencias en METTLER TOLEDO, comuníquese con nuestro Responsable de Cumplimiento de Código Abierto (OSCO) en osco@mt.com.

Quiero...
¿Necesita ayuda?
Nuestro equipo está disponible para ayudarle. Póngase en contacto con nuestros expertos