ACCESO

Política de Divulgación Coordinada de Vulnerabilidades (CVD) DIDE.ORG EDUCATIONAL TECHNOLOGY S.L.

Introducción

En DIDE.ORG EDUCATIONAL TECHNOLOGY S.L. (en adelante, «DIDE»), reconocemos la importancia crítica de la ciberseguridad para mantener la confianza y la seguridad de nuestros usuarios, clientes y partes interesadas. En cumplimiento de nuestro compromiso con la seguridad, hemos establecido una Política de Divulgación Coordinada de Vulnerabilidades (CVD). Esta política está diseñada para facilitar la identificación, notificación y resolución responsable de vulnerabilidades en nuestros sistemas, productos y servicios.

Nuestra política fomenta la colaboración con la comunidad de investigadores de seguridad y define procedimientos claros para comunicar y abordar vulnerabilidades. Trabajando conjuntamente con los investigadores y partes interesadas, buscamos minimizar riesgos potenciales, asegurando que las vulnerabilidades se gestionen de forma ágil y transparente. Este enfoque no solo fortalece nuestra postura de seguridad, sino que refuerza nuestro compromiso con un entorno seguro para todos los usuarios de nuestros productos y servicios.

Alcance

Esta política CVD se aplica a todos los activos digitales gestionados por DIDE, incluidos software, hardware y servicios en la nube. Cubre vulnerabilidades que puedan afectar a la seguridad, confidencialidad, integridad o disponibilidad de estos activos.

La política se aplica a todos los productos y servicios ofrecidos en nuestro sitio web principal, así como a los sistemas relacionados que interactúan con nuestra infraestructura. Quedan excluidos de esta política los productos o servicios de terceros que no estén bajo control directo de DIDE. Las vulnerabilidades detectadas en dichos sistemas deberán notificarse a sus respectivos fabricantes. Igualmente, los problemas en versiones obsoletas o sin soporte de nuestros productos están fuera del alcance, salvo que representen un riesgo significativo para el ecosistema.

Designación y sumisión expresa de CNA

DIDE designa formalmente a Edgewatch como su autoridad CNA (CVE Numbering Authority), siendo este el único y exclusivo responsable de coordinar, asignar y publicar identificadores CVE en relación con las vulnerabilidades que afecten a los productos, sistemas y servicios gestionados por DIDE.ORG EDUCATIONAL TECHNOLOGY S.L.

Edgewatch será el encargado de verificar, clasificar y documentar cada vulnerabilidad reportada que cumpla los criterios del sistema CVE, conforme a las normas establecidas por MITRE y siguiendo las directrices de coordinación segura definidas en la Guía Nacional de Notificación y Gestión de Ciberincidentes del CCN-CERT.

DIDE se compromete a colaborar activamente con Edgewatch durante todo el ciclo de vida de la gestión de la vulnerabilidad, proporcionando la información técnica necesaria y actuando sobre las recomendaciones de mitigación y respuesta. La designación de Edgewatch como CNA será pública y efectiva desde la entrada en vigor de la presente política.

Directrices de Notificación

DIDE facilita un proceso de notificación de vulnerabilidades sencillo y seguro. El método preferido para notificar vulnerabilidades es a través del formulario seguro disponible en https://disclosurealert.com/report . Este formulario guía al usuario paso a paso, garantizando la recolección eficiente de la información necesaria.

También se aceptan reportes por correo electrónico al buzón de notificaciones de Edgewatch: security@edgewatch.com. Recomendamos cifrar los mensajes mediante PGP. Toda notificación debe incluir una descripción detallada de la vulnerabilidad, los productos o servicios afectados, los pasos para reproducirla y, si es posible, código de prueba o capturas de pantalla.

Rogamos abstenerse de hacer pública la vulnerabilidad hasta que DIDE haya tenido oportunidad de evaluarla y remediarla. Este enfoque nos permite proteger a los usuarios mientras colaboramos con la parte informante.

Admisibilidad y Alcance de los Reportes

DIDE valora y fomenta la notificación responsable de vulnerabilidades que puedan impactar significativamente la seguridad de nuestros productos y servicios.

No obstante, ciertos tipos de vulnerabilidades quedan fuera del alcance por su impacto reducido. Ejemplos: enumeración de correos por fuerza bruta, fallos menores de gestión de sesiones, y fugas de información no explotables. Para una lista completa, consultar https://disclosurealert.com/kb/typically-out-of-scope-low-impact-vulnerabilities .

Tampoco se incluyen fallos en servicios o productos de terceros, ni problemas en versiones antiguas o no soportadas de nuestro software.

Reglas de Actuación (Rules of Engagement)

  • No realizar pruebas de Denegación de Servicio (DoS) que puedan degradar o interrumpir los servicios.
  • Prohibido el acceso físico o la ingeniería social, incluidas interacciones con empleados, clientes o colaboradores.
  • No probar servicios de terceros integrados en nuestros productos o infraestructura.
  • No subir contenido a plataformas externas (como GitHub, Dropbox o YouTube) sin autorización previa.
  • Utilizar lenguaje profesional en los vectores de ataque empleados para pruebas.
  • Detenerse en el punto de reconocimiento si se accede a un sistema o dato sensible, informando inmediatamente.
  • Documentar discretamente cualquier hallazgo sin identificar públicamente a DIDE o sus clientes.

Proceso de Acuse y Respuesta

Al recibir un reporte, el equipo de seguridad de DIDE confirmará la recepción en un máximo de tres días laborables. Esta confirmación inicial indicará que el informe ha sido recibido y está siendo evaluado. Posteriormente, se realizará una evaluación preliminar (triage) para verificar la validez de la vulnerabilidad y su posible impacto en nuestros sistemas y usuarios.

Durante todo el proceso de gestión, se mantendrá una comunicación abierta y regular con el investigador, proporcionando actualizaciones sobre el estado del análisis, las acciones correctivas y el resultado final. Una vez corregida la vulnerabilidad, se informará a la persona informante y se coordinará la posible divulgación pública en un plazo consensuado.

Política de Divulgación

DIDE es transparente en su gestión de vulnerabilidades. Las vulnerabilidades se divulgarán públicamente solo una vez mitigadas y con medidas de protección aplicadas. La decisión sobre el momento de la divulgación será acordada con la persona informante, teniendo en cuenta el riesgo y la existencia de una solución.

En casos de riesgo inmediato y significativo, DIDE podrá acelerar el proceso de divulgación para alertar a los usuarios lo antes posible. Si el riesgo es bajo, la publicación se podrá retrasar hasta disponer de una solución integral.

Las notificaciones relevantes se ajustarán a la Guía Nacional de Notificación y Gestión de Ciberincidentes del CCN-CERT.

Protección Legal y Principios de Buena Fe

DIDE protege a los investigadores que actúen de buena fe conforme a esta política. No se emprenderán acciones legales contra quienes informen cumpliendo estas directrices y la normativa vigente. Esta disposición promueve un entorno de colaboración y confianza con la comunidad de seguridad. El objetivo es que las investigaciones puedan desarrollarse sin temor a represalias si se ajustan al marco legal y técnico establecido.

Comunicación y Coordinación

DIDE colabora activamente con Edgewatch, designada como CVE Numbering Authority (CNA) por el CVE® Program bajo la tutela del INCIBE. Si el reporte cumple los requisitos del sistema CVE, Edgewatch asignará el identificador correspondiente. Este número permite su seguimiento en la comunidad de ciberseguridad y facilita una respuesta coordinada tanto dentro de DIDE como en el resto del sector.

Durante el proceso, Edgewatch coordinará con DIDE y mantendrá una comunicación continua y fluida con el investigador para informarle sobre el estado de la evaluación, la posible asignación de un identificador CVE, así como sobre las medidas de remediación adoptadas. Esta comunicación se ajustará a los principios de cooperación establecidos por la Guía Nacional de Notificación y Gestión de Ciberincidentes del CCN-CERT, asegurando una gestión adecuada, responsable y coordinada de la vulnerabilidad.

Remediación y Mitigación

Una vez verificada una vulnerabilidad, DIDE se compromete a abordarla con la mayor celeridad posible. La remediación comienza con una evaluación técnica del alcance y severidad del fallo, seguida del desarrollo y despliegue de parches, actualizaciones u otras medidas de contención.

Como parte del proceso, se notificará a los usuarios afectados con instrucciones detalladas sobre cómo aplicar dichas soluciones o mitigar el riesgo temporalmente. El objetivo es garantizar que las vulnerabilidades no solo se resuelvan con rapidez, sino también que las personas usuarias puedan actuar informadas y de forma segura.

Revisión y Mejora Continua

En DIDE creemos que la mejora continua es esencial para mantener una postura de ciberseguridad sólida. Por ello, esta política CVD se revisa regularmente para asegurar su adecuación a las mejores prácticas del sector, a la evolución del panorama de amenazas y a los requisitos regulatorios vigentes.

Animamos a la comunidad de investigadores a enviar comentarios y sugerencias que nos ayuden a perfeccionar nuestros procesos. Con cada revisión, reforzamos nuestro compromiso con la seguridad y la integridad de nuestros productos, servicios y usuarios.

Política de Divulgación Coordinada de Vulnerabilidades (CVD) de DIDE.ORG EDUCATIONAL TECHNOLOGY S.L.

Fecha de entrada en vigor: 29 de mayo de 2025

Última actualización: 29 de mayo de 2025

Versión: 1.0

Información de contacto

Para cualquier consulta o para enviar un informe de vulnerabilidad, por favor contacte con el equipo de seguridad de Edgewatch en security@edgewatch.com o visite nuestra página de seguridad para más información.

©2025 Dide · Todos los derechos reservados · Diseño web por IdeandoAzul