Amazon Web Services se toma la seguridad muy en serio, por lo que investiga todas las vulnerabilidades registradas. En esta página describimos nuestra forma de proceder para resolver las posibles vulnerabilidades que puedan afectar a cualquier aspecto de nuestros servicios en la nube.

  • Ventas en Amazon.com – Si tiene alguna pregunta sobre la seguridad en relación con las ventas de Amazon.com, Seller Central, Amazon Payments u otras cuestiones relacionadas como pedidos sospechosos, cargos no válidos en la tarjeta de crédito, correos electrónicos sospechosos o informes de vulnerabilidad, visite: https://amazon.com/security.
  • Amazon Web Services (AWS) – Si desea informar de una vulnerabilidad o tiene alguna pregunta sobre la seguridad en relación con los servicios de la nube de AWS, como EC2, Amazon S3, CloudFront, RDS, etc., envíenos un email a aws-security@amazon.com. Si desea proteger su correo electrónico, puede utilizar PGP. Nuestra clave está aquí.

Si sospecha que los recursos de AWS (como una instancia EC2 o un bucket de S3) se utilizan para actividades sospechosas, puede notificarlo al equipo AWS Abuse Team aquí.

A fin de que podamos responder a la comunicación con mayor eficacia, le rogamos que nos envíe material de soporte (el código de la prueba de concepto, el resultado de una herramienta, etc.) que pueda ayudarnos a conocer la naturaleza y gravedad de la vulnerabilidad.

La información que comparta con AWS como parte de este proceso es confidencial dentro de AWS. No se comparte con terceras partes sin su permiso.

AWS revisará el informe enviado y le asignará un número de seguimiento. A continuación, le responderemos, acusando el recibo del informe, y le explicaremos los próximos pasos del proceso.

Tras haber enviado el informe, AWS se centrará en validar la vulnerabilidad informada. Si se precisa de información adicional para validar o reproducir el problema, AWS colaborará con usted para obtenerla. Cuando se haya completado la investigación inicial, se le enviarán los resultados junto con un plan de resolución y divulgación.

Cabe tener en cuenta algunos aspectos sobre el proceso de evaluación de AWS:

  • Productos de terceros. Muchos proveedores ofrecen productos en la nube de AWS. Por tanto, si se observa que la vulnerabilidad afecta al producto de un tercero, AWS avisará al autor del software afectado. AWS continuará coordinando la comunicación entre usted y el tercero de que se trate. No obstante, no se revelará su identidad al tercero sin contar con su consentimiento previo.
  • Confirmación de no vulnerabilidades. Si no se puede validar el problema o se observa que no se trata de un defecto en un producto de AWS, le informaremos.
  • Clasificación de vulnerabilidades. AWS utiliza la versión 2.0 del sistema de clasificación de vulnerabilidades comunes (Common Vulnerability Scoring System, CVSS) para evaluar las posibles vulnerabilidades. La puntuación final ayuda a medir la gravedad del problema y a dar prioridad a nuestras respuestas. Para obtener más información sobre CVSS, consulte el anuncio sobre CVSS-SIG.

AWS se compromete a responderle y a mantenerle informado de nuestro progreso a medida que investigamos o mitigamos los problemas de seguridad informados. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 24 horas para confirmarle que hemos recibido su informe de vulnerabilidad. Le enviaremos actualizaciones sobre la evolución cada cinco días laborables, como mínimo.

Si procede, AWS coordina con usted la notificación pública de una vulnerabilidad validada. Si fuera posible, preferiríamos que nuestras comunicaciones públicas correspondientes se publicaran simultáneamente.

A efectos de proteger a nuestros clientes, AWS le pide que no publique ni comparta información sobre alguna posible vulnerabilidad que pueda afectar al público hasta que hayamos investigado, respondido y solucionado la vulnerabilidad comunicada y, en última instancia, después de haber informado a los clientes si lo estimamos conveniente. Además, con nuestro más sincero respeto, le pedimos que no publique ni comparta datos que pertenezcan a nuestros clientes. Solucionar una vulnerabilidad comunicada constatada llevará su tiempo. Esto variará en función de la gravedad de la vulnerabilidad y de los sistemas afectados.

Las notificaciones públicas de AWS aparecen en boletines de seguridad, que se publican en el Centro de seguridad de AWS. Los particulares, las empresas y los equipos de seguridad suelen publicar los avisos en sus propios sitios web y en otros foros. Cuando lo consideremos oportuno, incluiremos estos enlaces en los recursos de terceros de los boletines de seguridad de AWS.

 

Contacte con nosotros