Last update: Aug 21st 2024
Política de Divulgación de Vulner
Introducción
Object First se esfuerza por ayudar a nuestros socios y clientes a minimizar el riesgo asociado con las vulnerabilidades de seguridad en nuestros productos. De acuerdo con nuestro compromiso con la promesa Secure by Design de CISA, estamos comprometidos a mantener las mejores prácticas de la industria en seguridad y manejo de vulnerabilidades y nuestro objetivo es proporcionar a los clientes información oportuna, orientación y opciones de mitigación para abordar las vulnerabilidades.
Manejo de Informes de Vulnerabilidad
Valoramos la perspectiva de los socios de la industria y los investigadores de seguridad, y apreciamos todas las contribuciones a nuestras iniciativas de seguridad. Nuestro objetivo es garantizar que los remedios y/o estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Object First, y trabajar con proveedores externos cuando la remediación requiera su colaboración.
Si crees que has descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos saber de ti. Esta política describe los pasos para informarnos sobre vulnerabilidades, lo que esperamos y lo que puedes esperar de nosotros.
De acuerdo con esta política, toda la información divulgada sobre nuevas vulnerabilidades se considera confidencial y solo se compartirá entre Object First y la parte que informa si la información no es ya de conocimiento público hasta que un remedio esté disponible y las actividades de divulgación estén coordinadas.
Sistemas en Alcance
Esta política se aplica a cualquier activo fabricado, vendido, poseído, operado o mantenido por Object First.
Fuera de Alcance
- Activos u otro equipo no propiedad de las partes que participan en esta política.
Las vulnerabilidades descubiertas o sospechadas en sistemas fuera de alcance deben ser informadas al proveedor correspondiente o a la autoridad aplicable.
Nuestros Compromisos
Al trabajar con nosotros, de acuerdo con esta política, puedes esperar que nosotros:
- Respondamos a tu informe de manera rápida y trabajemos contigo para entender y validar tu informe.
- Nos esforcemos por mantenerte informado sobre el progreso de una vulnerabilidad a medida que se procesa.
- Trabajemos para remediar las vulnerabilidades descubiertas de manera rápida, dentro de nuestras limitaciones operativas.
- Extendamos el Safe Harbor para tu investigación de vulnerabilidades relacionada con esta política.
Nuestras Expectativas
Al participar en nuestro programa de divulgación de vulnerabilidades de buena fe, te pedimos que:
- Juegues según las reglas, incluyendo seguir esta política y otros acuerdos relevantes. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política.
- Reportes cualquier vulnerabilidad que hayas descubierto de manera rápida.
- Evites violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario.
- Utilices solo los Canales Oficiales para discutir información sobre vulnerabilidades con nosotros.
- Nos proporciones un tiempo razonable (mínimo 90 días desde el informe inicial) para resolver el problema antes de que lo divulgues públicamente.
- Realices pruebas solo en sistemas dentro del alcance y respetes los sistemas y actividades que están fuera de alcance.
- Si una vulnerabilidad proporciona acceso no intencionado a datos, limites la cantidad de datos a los que accedes al mínimo requerido para demostrar efectivamente una Prueba de Concepto. Además, cesa las pruebas y envía un informe de inmediato si encuentras datos de usuario durante las pruebas, como Información de Identificación Personal (PII), Información de Salud Personal (PHI), datos de tarjetas de crédito o información confidencial.
- Solo debes interactuar con cuentas de prueba que poseas o con permiso explícito del titular de la cuenta.
- No divulgues detalles de vulnerabilidades hasta que Object First confirme la solución.
- No almacenes ningún dato descubierto durante el proceso de prueba.
- No participes en extorsión.
Canales Oficiales
Por favor, informa sobre problemas de seguridad a través de mailto:[email protected], proporcionando toda la información relevante. Cuantos más detalles proporciones, más rápido podremos clasificar y abordar el problema.
Safe Harbor
- Al realizar investigaciones de vulnerabilidades bajo esta política, consideramos que esta investigación es: Autorizada en relación con cualquier ley anti-hacking aplicable, y no iniciaremos ni apoyaremos acciones legales en tu contra por violaciones accidentales y de buena fe de esta política;
- Autorizada en relación con cualquier ley anti-elusión relevante, y no presentaremos una reclamación en tu contra por el elusión de controles tecnológicos;
- Exenta de restricciones en nuestros Términos de Servicio (TOS) y/o Política de Uso Aceptable (AUP) que interferirían con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de manera limitada; y
- Legal, útil para la seguridad general de Internet y realizada de buena fe.
Se espera que cumplas con todas las leyes aplicables en tu investigación, pruebas e informes. Si un tercero inicia acciones legales en tu contra y has cumplido con esta política, tomaremos medidas para hacer saber que tus acciones se realizaron en cumplimiento de esta política.
Si tienes preocupaciones o no estás seguro de si tu investigación de seguridad es consistente con esta política en algún momento, por favor envía un informe a [email protected].
Ten en cuenta que el Safe Harbor se aplica solo a reclamaciones legales bajo el control de la organización que participa en esta política y que la política no obliga a terceros independientes.