Novedad
Solicitar una demo

Object First Política de divulgación de vulnerabilidades

Última actualización:

Introducción 

Object First se compromete a ayudar a nuestros socios y clientes a minimizar el riesgo asociado con cualquier vulnerabilidad de seguridad. Como cofirmante del compromiso Seguro por diseño de CISA, estamos dedicados a mantener las mejores prácticas del sector en materia de seguridad y gestión de vulnerabilidades, y a proporcionar a los clientes información, orientación y opciones de mitigación oportunas para abordar las vulnerabilidades.

Gestión de informes de vulnerabilidades

Damos la bienvenida a informes y divulgaciones de socios del sector e investigadores de seguridad. Nuestro objetivo es disponer de correcciones o estrategias de mitigación en el momento de la divulgación, en colaboración con proveedores externos cuando sea necesario.

Si ha descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros productos, queremos saberlo.

En virtud de esta política de divulgación, toda la información divulgada sobre nuevas vulnerabilidades se considera confidencial y solo se compartirá entre Object First y la parte informante si la información no es ya de conocimiento público, hasta que el equipo de seguridad de Object First confirme que existe una remediación disponible y autorice explícitamente la divulgación coordinada.

Sistemas dentro del alcance

Esta política se aplica a cualquier producto fabricado, vendido, propiedad de, operado o mantenido por Object First.

Fuera de alcance

Productos u otros equipos que no sean propiedad de las partes que participan en esta política.

Las vulnerabilidades descubiertas o sospechadas en sistemas fuera de alcance deben informarse al proveedor correspondiente o a la autoridad aplicable.

Nuestros compromisos

Al trabajar con nosotros, puede esperar que:

  • Responderemos a su informe con prontitud y trabajaremos con usted para comprender y validar su informe.
  • Le mantendremos informado sobre el progreso de una vulnerabilidad a medida que se procesa.
  • Trabajaremos para remediar las vulnerabilidades descubiertas con prontitud, dentro de nuestras limitaciones operativas.
  • Extenderemos “Puerto Seguro” para su investigación de vulnerabilidades relacionada con esta política.

Nuestras expectativas

Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, le pedimos que:

  • Cumpla las reglas, incluido seguir esta política y otros acuerdos pertinentes. Si existe alguna inconsistencia entre esta política y cualesquiera otros términos aplicables, prevalecerán los términos de esta política.
  • Informe con prontitud cualquier vulnerabilidad que haya descubierto.
  • Evite vulnerar la privacidad de terceros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario.
  • Utilice únicamente canales oficiales para tratar información de vulnerabilidades con [email protected].
  • Proporciónenos un plazo razonable (mínimo 90 días desde el informe inicial) para resolver el problema antes de divulgarlo públicamente.
  • Realice pruebas únicamente en sistemas dentro del alcance y respete los sistemas y actividades que estén fuera de alcance.
  • Si una vulnerabilidad proporciona acceso no intencionado a datos, limite la cantidad de datos a los que accede al mínimo requerido para demostrar eficazmente una prueba de concepto. Además, cese las pruebas y envíe un informe de inmediato si encuentra cualquier dato de usuario durante las pruebas, como Información de Identificación Personal (PII), Información Sanitaria Personal (PHI), datos de tarjetas de crédito o cualquier otra información propietaria.
  • Solo debe interactuar con cuentas de prueba que le pertenezcan o con permiso explícito del titular de la cuenta.
  • No divulgue detalles de la vulnerabilidad hasta que se acuerde con el equipo de seguridad de Object First.
  • No almacene ningún dato descubierto durante el proceso de pruebas.
  • No participe en extorsión.

Informar una vulnerabilidad de seguridad

Si cree que ha identificado una vulnerabilidad de seguridad en un producto o servicio de Object First, le animamos a informarla para que podamos investigar y abordar el problema rápidamente.

Cómo informar

Envíe un correo electrónico a [email protected] con una descripción clara de lo que encontró, incluyendo cualquier detalle que nos ayude a realizar el triaje de forma eficiente. Si no está seguro de si sus pruebas se ajustan a esta política, póngase en contacto con la misma dirección.

Qué incluir

  • Un resumen del problema y el impacto potencial
  • Pasos detallados para reproducir la vulnerabilidad
  • Nombre del producto, versión y detalles del entorno
  • Cualquier material de prueba de concepto
  • Su información de contacto preferida

Evite descargar, almacenar o compartir cualquier información sensible. Detenga las pruebas de inmediato e incluya sus observaciones en su informe.

Qué esperar

Nuestro equipo de seguridad acusará recibo de su informe, revisará el problema y hará seguimiento con los siguientes pasos. Le mantendremos informado mientras trabajamos hacia una resolución.

Puerto Seguro

Object First respalda la investigación de seguridad de buena fe. “Puerto Seguro” significa que, si sigue esta política y realiza pruebas de forma responsable, trataremos su investigación como autorizada y no emprenderemos acciones legales por infracciones accidentales que ocurran durante su investigación.

Cuando realiza investigación de vulnerabilidades bajo esta política, consideramos que esta investigación es:

  • Autorizada conforme a las leyes anti-hacking aplicables, y no iniciaremos ni apoyaremos acciones legales contra usted por infracciones accidentales y de buena fe de esta política
  • Autorizada conforme a las leyes anti-elusión pertinentes, y no presentaremos una reclamación contra usted por la elusión de controles técnicos
  • Exenta de restricciones en nuestros Términos de Servicio (TOS) y/o Política de Uso Aceptable (AUP) que interferirían con la realización de investigación de seguridad, y renunciamos a esas restricciones de forma limitada
  • Lícita, útil para la seguridad general y realizada de buena fe.

Se espera que cumpla con todas las leyes aplicables en su investigación, pruebas e informes. Si un tercero inicia acciones legales contra usted y usted ha cumplido con esta política, tomaremos medidas para que se sepa que sus acciones se realizaron en cumplimiento de esta política.

Participación de terceros

Se espera que cumpla con todas las leyes aplicables en su investigación, pruebas e informes. Si un tercero inicia acciones legales contra usted y usted ha cumplido con esta política, tomaremos medidas para que se sepa que sus acciones se realizaron en cumplimiento de esta política.

Tenga en cuenta que el Puerto Seguro se aplica únicamente a reclamaciones legales bajo el control de la organización que participa en esta política y que la política no vincula a terceros independientes.

Descargo de responsabilidad de traducción automática

Tenga en cuenta que Object First utiliza traducción automática en nuestro sitio web. Para obtener todos los detalles, lea el descargo de responsabilidad.