Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Last update: Aug 21st 2024

Política de Divulgación de Vulner

Introducción 

Object First se esfuerza por ayudar a nuestros socios y clientes a minimizar el riesgo asociado con las vulnerabilidades de seguridad en nuestros productos. De acuerdo con nuestro compromiso con la promesa Secure by Design de CISA, estamos comprometidos a mantener las mejores prácticas de la industria en seguridad y manejo de vulnerabilidades y nuestro objetivo es proporcionar a los clientes información oportuna, orientación y opciones de mitigación para abordar las vulnerabilidades. 

Manejo de Informes de Vulnerabilidad 

Valoramos la perspectiva de los socios de la industria y los investigadores de seguridad, y apreciamos todas las contribuciones a nuestras iniciativas de seguridad.  Nuestro objetivo es garantizar que los remedios y/o estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Object First, y trabajar con proveedores externos cuando la remediación requiera su colaboración. 

Si crees que has descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos saber de ti. Esta política describe los pasos para informarnos sobre vulnerabilidades, lo que esperamos y lo que puedes esperar de nosotros. 

De acuerdo con esta política, toda la información divulgada sobre nuevas vulnerabilidades se considera confidencial y solo se compartirá entre Object First y la parte que informa si la información no es ya de conocimiento público hasta que un remedio esté disponible y las actividades de divulgación estén coordinadas. 

Sistemas en Alcance 

Esta política se aplica a cualquier activo fabricado, vendido, poseído, operado o mantenido por Object First. 

Fuera de Alcance 

  • Activos u otro equipo no propiedad de las partes que participan en esta política. 

Las vulnerabilidades descubiertas o sospechadas en sistemas fuera de alcance deben ser informadas al proveedor correspondiente o a la autoridad aplicable. 

Nuestros Compromisos 

Al trabajar con nosotros, de acuerdo con esta política, puedes esperar que nosotros: 

  • Respondamos a tu informe de manera rápida y trabajemos contigo para entender y validar tu informe. 
  • Nos esforcemos por mantenerte informado sobre el progreso de una vulnerabilidad a medida que se procesa. 
  • Trabajemos para remediar las vulnerabilidades descubiertas de manera rápida, dentro de nuestras limitaciones operativas. 
  • Extendamos el Safe Harbor para tu investigación de vulnerabilidades relacionada con esta política. 

Nuestras Expectativas 

Al participar en nuestro programa de divulgación de vulnerabilidades de buena fe, te pedimos que: 

  • Juegues según las reglas, incluyendo seguir esta política y otros acuerdos relevantes. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política. 
  • Reportes cualquier vulnerabilidad que hayas descubierto de manera rápida. 
  • Evites violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario. 
  • Utilices solo los Canales Oficiales para discutir información sobre vulnerabilidades con nosotros. 
  • Nos proporciones un tiempo razonable (mínimo 90 días desde el informe inicial) para resolver el problema antes de que lo divulgues públicamente. 
  • Realices pruebas solo en sistemas dentro del alcance y respetes los sistemas y actividades que están fuera de alcance. 
  • Si una vulnerabilidad proporciona acceso no intencionado a datos, limites la cantidad de datos a los que accedes al mínimo requerido para demostrar efectivamente una Prueba de Concepto. Además, cesa las pruebas y envía un informe de inmediato si encuentras datos de usuario durante las pruebas, como Información de Identificación Personal (PII), Información de Salud Personal (PHI), datos de tarjetas de crédito o información confidencial. 
  • Solo debes interactuar con cuentas de prueba que poseas o con permiso explícito del titular de la cuenta. 
  • No divulgues detalles de vulnerabilidades hasta que Object First confirme la solución. 
  • No almacenes ningún dato descubierto durante el proceso de prueba. 
  • No participes en extorsión. 

Canales Oficiales 

Por favor, informa sobre problemas de seguridad a través de mailto:[email protected], proporcionando toda la información relevante. Cuantos más detalles proporciones, más rápido podremos clasificar y abordar el problema. 

Safe Harbor 

  • Al realizar investigaciones de vulnerabilidades bajo esta política, consideramos que esta investigación es: Autorizada en relación con cualquier ley anti-hacking aplicable, y no iniciaremos ni apoyaremos acciones legales en tu contra por violaciones accidentales y de buena fe de esta política; 
  • Autorizada en relación con cualquier ley anti-elusión relevante, y no presentaremos una reclamación en tu contra por el elusión de controles tecnológicos; 
  • Exenta de restricciones en nuestros Términos de Servicio (TOS) y/o Política de Uso Aceptable (AUP) que interferirían con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de manera limitada; y 
  • Legal, útil para la seguridad general de Internet y realizada de buena fe. 

Se espera que cumplas con todas las leyes aplicables en tu investigación, pruebas e informes. Si un tercero inicia acciones legales en tu contra y has cumplido con esta política, tomaremos medidas para hacer saber que tus acciones se realizaron en cumplimiento de esta política. 

Si tienes preocupaciones o no estás seguro de si tu investigación de seguridad es consistente con esta política en algún momento, por favor envía un informe a [email protected].  

Ten en cuenta que el Safe Harbor se aplica solo a reclamaciones legales bajo el control de la organización que participa en esta política y que la política no obliga a terceros independientes.