Comunicar las vulnerabilidades de seguridad de los productos QNAP
Animamos a los desarrolladores y usuarios avanzados a comunicar cualquier vulnerabilidad de seguridad, potencial o confirmada, de los productos de QNAP al equipo de Respuesta de seguridad. Use la clave pública de cifrado PGP para encriptar el mensaje de su correo electrónico y envíelo a security@qnap.com.
Clave pública de cifrado PGP
Se recomienda el uso de la siguiente clave pública de cifrado PGP para encriptar sus correos electrónicos a fin de comunicar vulnerabilidades de seguridad a QNAP.
Preguntas frecuentes
- Cuando encuentre vulnerabilidades de seguridad en productos de QNAP.
- Para buscar asistencia técnica (por ejemplo, cómo configurar la actualización del sistema NAS y las solicitudes RMA).
- Para comunicar vulnerabilidades ya conocidas públicamente (por ejemplo, vulnerabilidades que ya se encuentren en la lista de Asesoramiento de seguridad).
- Para buscar asistencia técnica a fin de instalar los parches publicados en respuesta a vulnerabilidades de seguridad.
- Para comunicar vulnerabilidades de productos de otros proveedores o para solicitar información sobre vulnerabilidades de productos de otros proveedores.
- Para comunicar vulnerabilidades de seguridad encontradas en sitios web que no sean qnap.com.
- Para solicitar asesoramiento sobre problemas no relacionados con la seguridad de los productos.
- Para comunicar el hecho de haber encontrado software malintencionado en dispositivos móviles.
Para las anteriores cuestiones, debería contactar con el equipo de Soporte técnico de QNAP. Se puede contactar con el equipo de Soporte técnico en http://helpdesk.qnap.com/. Si el equipo de Soporte técnico lo estima necesario, el caso será remitido al equipo de Respuesta de seguridad.
- Para comunicarnos vulnerabilidades de seguridad de los productos de QNAP, incluya el máximo de información posible como el nombre del modelo del hardware, la versión de QTS/QES, el nombre y la versión de las aplicaciones donde existan vulnerabilidades, una descripción de las vulnerabilidades y los pasos necesarios para reproducir la vulnerabilidad. Cuando contacte con QNAP se recomienda el uso de la clave pública de cifrado PGP facilitada en esta página para garantizar la integridad y la confidencialidad del correo electrónico.
- El Equipo de respuesta a incidentes de seguridad del producto de QNAP analizará e investigará a fondo la información recibida. Normalmente, le confirmaremos la recepción de su notificación en un plazo de tres (3) días laborables y luego empezaremos a investigar y verificar el problema notificado. Una vez que QNAP haya revisado y confirmado el problema notificado, lanzará un parche (Qfix) o una versión actualizada del correspondiente software, según sea necesario. El parche y la versión actualizada se suelen lanzar en un plazo de noventa (90) días tras la notificación. Sin embargo, en función de la complejidad del problema, tal vez sea necesario más tiempo. También se publicará el correspondiente artículo de Asesoramiento de seguridad. QNAP nunca transmitirá su correspondencia electrónica o su dirección de correo electrónico a terceros. Tampoco le solicitaremos ni revelaremos ninguna información personal que pueda ser utilizada para identificarle, incluida su identidad, su trabajo, el equipo o la configuración que utiliza.
Con el fin de reducir la posibilidad de que los usuarios sean víctimas de delitos cibernéticos, QNAP no anunciará por adelantado la existencia de vulnerabilidades antes de publicar parches o emitir avisos de seguridad. Por favor, siga las recomendaciones de QNAP para garantizar la seguridad de la red de los productos de QNAP que utilice. Para los servicios de QNAP que adopte, le rogamos que descargue los parches y los avisos de seguridad del sitio web de QNAP y actualice el software de manera puntual y regular. QNAP también le recomienda que se suscriba a los avisos de seguridad para recibir las noticias más actualizadas sobre la seguridad del producto.
Para la protección de nuestros clientes, QNAP no revela, discute o confirma los problemas de seguridad hasta que se ha producido una investigación y los parches o versiones están generalmente disponibles.