® 
Divulgacion Responsable (Responsible Disclosure)
Definicion
La divulgacion responsable es el proceso en el que un investigador de seguridad informa de una vulnerabilidad encontrada a la organizacion afectada para que pueda ser corregida.
La divulgacion responsable (coordinated vulnerability disclosure) es el proceso donde un investigador de seguridad reporta responsablemente una vulnerabilidad descubierta a la organizacion afectada para que pueda corregirse antes de hacerse publica.
Como funciona la divulgacion responsable?
El proceso sigue cuatro pasos: el investigador descubre una vulnerabilidad, informa a la organizacion afectada a traves del contacto de seguridad o la politica de divulgacion de vulnerabilidades (VDP), da un plazo razonable para la remediacion (tipicamente 90 dias), y luego la divulga publicamente. Durante la remediacion, el investigador no publica detalles explotables.
Politica de Divulgacion de Vulnerabilidades (VDP)
Las organizaciones publican una VDP que describe como reportar vulnerabilidades, que sistemas estan en alcance, que reglas aplican y que proteccion legal ofrecen. La CRA exige a los fabricantes implementar procesos de gestion de vulnerabilidades.
Impacto para las organizaciones
Las organizaciones sin VDP pierden informes de vulnerabilidades valiosos: los investigadores que no encuentran un canal seguro pueden optar por la divulgacion completa.
Proteccion
Publique una VDP en el sitio web (security.txt). Designe un equipo interno para gestionar los informes. Comunique de forma transparente con los investigadores.
Como ayuda DEFION
DEFION asesora en el establecimiento de politicas de divulgacion responsable y VDP.