Esta norma proporciona los requisitos y recomendaciones para los proveedores en relación a la divulgación de vulnerabilidades en productos y servicios. La divulgación de vulnerabilidades permite a los usuarios realizar una administración técnica de las vulnerabilidades, como se especifica en INTE/ISO/IEC 27002, 12.6.1 [1]. La divulgación de vulnerabilidades ayuda a los usuarios a proteger sus sistemas y datos, priorizando las inversiones defensivas y mejorando el análisis de riesgo. El objetivo de la divulgación de vulnerabilidades es reducir el riesgo asociado con la explotación de las mismas. Una divulgación de vulnerabilidades coordinada es especialmente importante cuando son afectados varios productores. Este documento proporciona: - Directrices sobre la recepción de informes relacionados con potenciales vulnerabilidades. - Directrices sobre la información correctiva de la divulgación de vulnerabilidades. - Términos y definiciones que son específicos para la divulgación de vulnerabilidades. - Resumen de los conceptos sobre divulgación de vulnerabilidades. - Consideraciones sobre técnicas y políticas para divulgación de vulnerabilidades. - Ejemplos de técnicas, políticas (Anexo A) y anuncios (Anexo B). Otras actividades relacionadas que ocurran entre la recepción y la divulgación de los informes de vulnerabilidades se describen en ISO/IEC 30111. Esta norma aplica a los proveedores quienes eligen practicar la divulgación de vulnerabilidades para reducir los riesgos a los usuarios de los proveedores de productos y servicios.