Ingeteam, como empresa líder en la generación renovable (eólica, fotovoltaica e hidroeléctrica), almacenamiento, en la red de transporte inteligente y en los consumos eficientes y limpios de energía eléctrica a través de nuestros cargadores de vehículo eléctrico, convertidores y motores para trenes, marina, siderurgia, minería, agua y para la producción de hidrógeno verde, tiene un compromiso firme con la ciberseguridad de sus productos y soluciones. En este sentido, considera la gestión de las vulnerabilidades software una prioridad, identificándolas y proporcionando una mitigación o solución lo antes posible.

Esta política de divulgación de vulnerabilidades se aplica a cualquier producto y solución que Ingeteam proporciona a sus clientes. Recomendamos leer esta política de divulgación de vulnerabilidades en su totalidad antes de informar de una vulnerabilidad y actuar siempre de conformidad con ella.

Valoramos a aquellos que se toman el tiempo y el esfuerzo para informar las vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas monetarias por divulgaciones de vulnerabilidades.

1. Informar de una vulnerabilidad a Ingeteam

Ingeteam considera una vulnerabilidad como una debilidad presente en el software de un producto o solución que pudiera permitir, una vez explotada, que un atacante comprometiera la   confidencialidad, la integridad o la disponibilidad. Por lo tanto, la gestión de vulnerabilidades software es un factor fundamental para reducir riesgos en todo el ciclo de vida de los productos y soluciones.
Cualquier persona que descubra una vulnerabilidad que afecte a alguno de los productos o soluciones de Ingeteam, puede reportarlo al equipo de Ciberseguridad de producto de Ingeteam al correo electrónico psirt@ingeteam.com . Se recomienda que el informe esté escrito en castellano o inglés, y que contenga, a ser posible:
  - Nombre del producto o servicio afectado, modelo y versión de firmware.
  - Descripción técnica con el máximo detalle posible de la vulnerabilidad, describiendo en la medida que sea posible, su causa, impacto, severidad estimada, herramientas y acciones necesarias para reproducirla y el resultado obtenido, así como una muestra del código utilizado para demostrarla. Pueden adjuntarse imágenes o videos.
  - Cuanta información de detalle se considere relevante en función de la vulnerabilidad, como por ejemplo configuración del equipo afectado y si hay otros equipos o componentes conectados en el escenario de prueba. 
  - Información de contacto y compromiso para una divulgación coordinada.

En las comunicaciones se recomienda mantener la máxima confidencialidad posible y usar cifrado PGP, usando la clave PGP pública que puede encontrarse en https://www.ingeteam.com/pgp-key.txt.


2. Proceso de gestión de vulnerabilidades

La política de gestión de vulnerabilidades de Ingeteam se compone de 5 fases:
  - Recepción e identificación de la vulnerabilidad
  - Verificación
  - Tratamiento: Desarrollo de la mitigación o solución
  - Comunicación
  - Tratamiento post-comunicación

  
3. Legal

Esta política está diseñada para ser compatible con las buenas prácticas comunes de divulgación de vulnerabilidades. No le da permiso para actuar de ninguna manera que sea incompatible con la ley, o que pueda causar que Ingeteam incumpla cualquier obligación legal.
La exploración y búsqueda de vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo. Por ello, en la búsqueda de vulnerabilidades no se permite llevar a cabo las siguientes acciones:
  - Infringir cualquier ley o reglamento aplicable.
  - Acceder a cantidades de datos innecesarias, excesivas o significativas.
  - Cualquier tipo de ataque físico.
  - Usar ingeniería social o inversa.
  - Poner en peligro el sistema y mantener el acceso al mismo de forma persistente.
  - Utilizar la vulnerabilidad para cualquier acción que no sea demostrar su existencia haciendo uso de métodos no agresivos.
  - Acceder, descargar, distribuir o modificar datos a los que se acceda explotando la vulnerabilidad.
  - Usar malware.
  - Usar ataques de fuerza bruta.
  - Pruebas de denegación de servicio (DoS o DDoS).
  - Compartir vulnerabilidad con terceros.
  - Acceder a áreas no públicas. Se debe parar inmediatamente la actividad y notificar la vulnerabilidad.
  - Afectar a la disponibilidad de los servicios y al buen funcionamiento del equipo. Se debe parar inmediatamente la actividad y notificar la vulnerabilidad.
Mantenga de forma confidencial la información sobre cualquier vulnerabilidad que haya descubierto entre usted e Ingeteam hasta que resolvamos el problema. Elimine de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o en el plazo de 1 mes a partir de la resolución de la vulnerabilidad, lo que ocurra primero.
Ingeteam se reserva el derecho de modificar esta política en cualquier momento, a su entera discreción.


-----

As a leading firm in generation from renewables (wind, PV & hydroelectric), storage, smart transmission networks and efficient, clean electricity consumption via our electric vehicle chargers, converters and motors for trains, marine use, steel, mining, water and the production of green hydrogen, Ingeteam is firmly committed to cybersecurity in its products and solutions. Accordingly, the company sees the rapid identification and mitigation or solution of software vulnerabilities as a priority.

This vulnerability disclosure policy applies to all products and solutions provided by Ingeteam to its customers. We recommend that you read this vulnerability disclosure policy in full before reporting a vulnerability, and that you act always as indicated here.

We appreciate your taking the time and effort to report security vulnerabilities in line with this policy. However, we do not offer cash rewards for disclosing vulnerabilities.

1. Reporting a vulnerability to Ingeteam

Ingeteam defines "vulnerability" as a weakness in the software of a product or solution that could enable an attacker to compromise its confidentiality, integrity or availability. Managing software vulnerabilities is therefore a fundamental factor in reducing risks throughout the life-cycle of products and solutions.
Anyone who detects a vulnerability that affects an Ingeteam product or solution can report it to Ingeteam's Product Cybersecurity Unit by e-mailing psirt@ingeteam.com . Reports should be in Spanish or English, and should include at least the following:
  - Name of the product or service affected, model and version of firmware.
  - As detailed a technical description as possible of the vulnerability, if possible covering its cause, its impacts, its estimated severity, the tools and actions required to reproduce it and the result obtained, plus a sample of the code used to demonstrate it. Pictures or videos may be attached.
  - As much detailed information as you may think relevant in accordance with the type of vulnerability, e.g. configuration of the equipment affected and whether there is other equipment or other components connected at the test scenario. 
  - Contact information and an undertaking to ensure coordinated disclosure.

Communications should be as confidential as possible, and should use PGP encryption, with the PGP password that can be found at https://www.ingeteam.com/pgp-key.txt


2. Vulnerability management process

Ingeteam's vulnerability management policy comprises 5 phases:
  - Receipt & identification of the vulnerability
  - Verification
  - Treatment: development of the mitigation or solution
  - Communication
  - Post-communication treatment

  
3. Legal issues

This policy is designed to be compatible with common good practices in the disclosure of vulnerabilities. It does not authorise you to act in any way that is counter to the law, or that may cause the organisation or any associated organisation to breach any obligation in law.
The search for and exploration of vulnerabilities must not be used as a pretext for attacking a system or any other target. The following actions may therefore not be taken when searching for vulnerabilities:
  - Breach of any law or applicable regulation.
  - Access to quantities of data deemed unnecessary, excessive or significant.
  - Any physical attack.
  - Use of social engineering.
  - Jeopardising of the system or maintaining of persistent access to it.
  - Use of a vulnerability for any action other than demonstrating via non-aggressive methods that it exists.
  - Modification of data accessed by exploiting the vulnerability.
  - Use of malware.
  - Use of brute force attacks.
  - Denial of Service testing (DoS or DDoS).
  - Sharing of the vulnerability with others.
  - Access to non-public areas. Activities must cease immediately and the vulnerability must be reported.
  - Affecting the availability of services and the proper operation of equipment. Activities must cease immediately and the vulnerability must be reported.
Information on any vulnerability detected must be kept confidential between yourself and Ingeteam until we have resolved the problem. All data retrieved during the investigation must be deleted securely as soon as they cease to be necessary or 1 month as from the resolution of the vulnerability, whichever is earlier. 
Ingeteam reserves the right to amend this policy at any time at its own discretion.