Establecer y publicar una política de divulgación coordinada de vulnerabilidades (CVD)

El artículo 13(7) del Reglamento (UE) 2024/2847 y el Anexo I Parte II §1 exigen que los fabricantes:

• Identifiquen y documenten las vulnerabilidades y los componentes contenidos en el producto
• Dispongan de una política de divulgación coordinada de vulnerabilidades
• Adopten medidas para facilitar el intercambio de información sobre posibles vulnerabilidades

La política CVD debe ser públicamente accesible para que los notificadores externos puedan encontrarla.

1. Política CVD pública: publicada en el sitio web y localizable
2. Contacto de seguridad: dirección de correo electrónico dedicada o formulario web para la notificación de vulnerabilidades (p. ej., security@example.com)
3. Archivo security.txt: publicado en /.well-known/security.txt conforme al RFC 9116 para que el contacto sea localizable automáticamente
4. Compromiso de acuse de recibo: indicar un plazo para confirmar la recepción (ENISA recomienda ≤ 5 días hábiles)
5. Calendario de divulgación: describir el proceso de divulgación coordinada, incluida la gestión de períodos de embargo con los investigadores
6. Declaración de ámbito: indicar qué productos y versiones cubre la política

Basándose en las directrices CVD de ENISA y el Anexo I Parte II del RCA:

• Dirección de contacto y método preferido
• Clave PGP / S/MIME para envíos cifrados (recomendado)
• Idiomas admitidos para los informes
• Plazo de acuse de recibo
• Calendario previsto para las actualizaciones de corrección
• Proceso de coordinación de la divulgación (embargo, reconocimiento al investigador, asignación de CVE)
• Declaración de puerto seguro para investigadores de buena fe

• Política CVD publicada (URL)
• Archivo /.well-known/security.txt
• Registro de recepción de vulnerabilidades (confidencial, no exigido públicamente)
• Registros de los informes recibidos y cómo fueron gestionados