Política de segurança do produto

ORBCOMM® Política de segurança do produto

Política de segurança do produto

A ORBCOMM continua totalmente comprometida em aprimorar continuamente nossa resiliência cibernética e alinhar nossas políticas e procedimentos com as melhores práticas do setor.

Trabalhamos diligentemente para avaliar e abordar questões de segurança de forma contínua e à medida que elas são especificamente trazidas à nossa atenção, e para comprometer os recursos apropriados para analisar, validar e fornecer ações corretivas para resolver o problema.

Relatando uma possível vulnerabilidade de segurança

Agradecemos os relatórios de pesquisadores independentes, organizações do setor, fornecedores e clientes preocupados com a segurança do produto. Para denunciar possíveis vulnerabilidades, envie um e-mail para psirt@orbcomm.com com “Divulgação responsável” na linha de assunto e um resumo das descobertas no corpo do e-mail. Uma resposta pode ser esperada dentro de três (3) a cinco (5) dias úteis.

Processo de gerenciamento de vulnerabilidades
Avaliação do risco de segurança usando o Common Vulnerability Scoring System (CVSS)

Usamos o Common Vulnerability Scoring System versão 3.0 (CVSS v3.0) para avaliar o nível de gravidade das vulnerabilidades identificadas. Isso permite que um método de pontuação comum e uma linguagem comum comuniquem as características e os impactos das vulnerabilidades e tentem estabelecer o nível de resposta que uma vulnerabilidade exige. O modelo usa três medidas ou pontuações distintas que incluem cálculos básicos, temporais e ambientais, cada um consistindo em um conjunto de métricas definidas. O padrão completo é mantido pelo Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST).

Nós seguimos o Documento de especificação do CVSS v3.0 Escala qualitativa de classificação de gravidade para definir classificações de gravidade, conforme mostrado na tabela abaixo:

Classificação de impacto na segurança
Pontuação CVSS
Crítico
9,0 — 10,0
Alto
7,0 — 8,9
Médio
4,0 — 6,9
Baixo
1,0 — 3,9

Reservamo-nos o direito de nos desviar dessas diretrizes em casos específicos em que fatores adicionais não são capturados adequadamente na pontuação do CVSS.

Recomendamos consultar um profissional de segurança ou de TI para avaliar o risco de sua configuração específica e incentivá-lo a calcular a pontuação ambiental do CVSS com base nos parâmetros da sua rede. Todos os clientes devem levar em consideração a pontuação básica e quaisquer pontuações temporais e ambientais que possam ser relevantes para seu ambiente para avaliar seu risco geral. Essa pontuação geral representa apenas o momento em que a avaliação foi realizada e é adaptada ao seu ambiente específico. Você deve usar a avaliação de risco de um profissional de segurança ou de TI e essa pontuação final para priorizar as respostas em seu próprio ambiente.

Notificando os clientes sobre a vulnerabilidade

Na maioria dos casos, pretendemos notificar os clientes quando houver uma solução ou solução prática identificada para uma vulnerabilidade de segurança. A notificação é fornecida por meio de comunicações direcionadas ou pela publicação de uma notificação do cliente na página da web dedicada ao produto. Isso será publicado depois que a equipe de segurança da ORBCOMM concluir o processo de resposta à vulnerabilidade e determinar que existem patches de software ou soluções alternativas suficientes para resolver a vulnerabilidade ou a divulgação pública subsequente de correções de código está planejada para resolver as vulnerabilidades.

As notificações do cliente têm como objetivo fornecer detalhes suficientes que ajudem os clientes a tomar decisões informadas para proteger seus respectivos ambientes. Essas notificações normalmente incluem as seguintes informações:

  1. Produtos e versões afetados.
  2. Identificador Common Vulnerability Enumeration (CVE) para a vulnerabilidade.
  3. Breve descrição da vulnerabilidade e do impacto potencial, se explorada.
  4. A classificação de gravidade do Common Vulnerability Scoring System (CVSS) para a vulnerabilidade.
  5. Detalhes de mitigação, como atualização, correção, mitigação ou outra ação do cliente.
  6. Crédito ao relator pela vulnerabilidade identificada e reconhecimento pela coordenação com a ORBCOMM.

Podemos lançar uma comunicação especial para responder rapidamente às divulgações públicas em que a vulnerabilidade já tenha recebido atenção pública significativa ou se espere que seja explorada ativamente. Nesse caso, podemos agilizar a comunicação, que pode ou não incluir um conjunto completo de patches ou soluções alternativas.

Não forneceremos informações detalhadas sobre as especificidades das vulnerabilidades, incluindo, mas não se limitando a, notas de lançamento, artigos da base de conhecimento ou código de exploração ou prova de conceito para vulnerabilidades identificadas.

Além disso, não compartilhamos as descobertas de testes de segurança internos ou outros tipos de atividades de segurança com entidades externas. É importante observar que qualquer verificação não autorizada de nossos serviços e sistemas de produção será considerada um ataque.

Remediação de vulnerabilidades

Levamos as preocupações de segurança a sério e trabalhamos para avaliá-las e resolvê-las em tempo hábil. Os cronogramas de resposta dependerão de muitos fatores, incluindo, mas não se limitando a: gravidade, produtos e serviços afetados, ciclo de desenvolvimento atual, ciclos de controle de qualidade e se o problema só pode ser atualizado em uma versão principal.

A remediação pode assumir uma ou mais das seguintes formas:

  1. Uma nova versão ou patch da ORBCOMM
  2. Instruções para baixar e instalar uma atualização ou patch de terceiros
  3. Uma solução alternativa para mitigar a vulnerabilidade

Não obstante o acima exposto, não garantimos uma resolução específica para os problemas e nem todos os problemas identificados podem ser corrigidos.

Seu parceiro no sucesso da IoT

Junte-se a mais de 500 parceiros em mais de 90 países que estão reduzindo a complexidade da solução de IoT, do conceito à implantação, com nosso programa de parceiros SKYWAVE Connect.

Comece
skywave logo
Where IoT powers mission-critical applications
© 2026 ORBCOMM. Todos os direitos reservados.
A ORBCOMM nunca vendeu e nunca venderá dados adquiridos por sua visita a este site a terceiros.

Comece

Preencha o formulário e um de nossos especialistas em IoT entrará em contato em breve para conectá-lo a esse parceiro.
Opcional
Obrigado! Seu envio foi recebido!
Opa! Algo deu errado ao enviar o formulário.