Política de Gestión de Vulnerabilidades

1. Introducción

Este documento define cómo se rastrean, evalúan y resuelven las vulnerabilidades en el software de DeskCamera. DeskCamera es una aplicación local, sin conexión a la nube, que transmite la pantalla de manera local a sistemas NVR/VMS. No graba video ni audio, y no recopila datos personales. La conexión con infraestructura en la nube es opcional y se utiliza únicamente para licenciamiento o verificación de actualizaciones. En ningún caso se transmite información personal.

2. Propósito

Garantizar la seguridad y fiabilidad de DeskCamera minimizando la exposición a vulnerabilidades conocidas mediante evaluación estructurada, corrección y actualizaciones.

3. Alcance

Se aplica a todas las versiones del software de DeskCamera, sistemas internos de desarrollo, repositorios de código y todos los componentes de terceros integrados.

4. Gobernanza y Roles

  • CTO – Responsable de la política y revisión de vulnerabilidades críticas
  • Equipo de desarrollo – Monitorea, evalúa y resuelve los problemas
  • Responsable de Seguridad – Coordina la respuesta ante vulnerabilidades y la comunicación externa (si corresponde)

5. Identificación de Vulnerabilidades

  • Monitoreo continuo de fuentes CVE y alertas de proveedores de dependencias
  • Revisiones internas de código y herramientas de análisis estático durante el desarrollo
  • Reportes de errores enviados por clientes o investigadores éticos a [email protected]

6. Clasificación y Evaluación de Riesgos

  • Las vulnerabilidades se clasifican como Emergency, Alta, Media o Baja según CVSS y el impacto en el negocio
  • El nivel de riesgo considera la probabilidad de explotación, impacto funcional y superficie de exposición

7. Proceso de Remediación

  • Vulnerabilidades Emergency y Altas se resuelven en un plazo máximo de 5 días hábiles
  • Los parches de seguridad se integran en la siguiente versión disponible luego de pruebas
  • Las dependencias se actualizan de forma proactiva ante la detección de riesgos conocidos

8. Proceso de Actualización y Publicación

  • Las compilaciones se firman con un certificado seguro almacenado en medios USB offline
  • Los nuevos instaladores se publican en el sitio web oficial de DeskCamera
  • Los clientes son notificados a través de la sección Security Advisories (si aplica)

9. Responsabilidad del Cliente

  • Los clientes son responsables de descargar e instalar manualmente las actualizaciones
  • DeskCamera no puede aplicar actualizaciones remotas ni acceder al entorno del cliente, por lo que se recomienda seguir buenas prácticas de seguridad

10. Revisión y Pruebas

  • Esta política se revisa anualmente por el CTO
  • El control de versiones se gestiona mediante GitHub
  • Las prácticas de gestión de vulnerabilidades pueden actualizarse tras un incidente o aviso de seguridad

11. Registro de Auditoría y Seguimiento de Cambios

  • Todos los cambios en el código y el historial de acceso se registran automáticamente mediante Azure DevOps Server
  • El historial de commits, actividad de usuarios y cambios de permisos se almacenan en una base de datos interna SQL Server
  • Se conserva el historial de commits de Git para todas las versiones y el control de acceso basado en roles garantiza la trazabilidad
  • La trazabilidad se alinea con las recomendaciones ISO 27001 y SOC 2 para desarrollo seguro de software