Ir al contenido principal
Centro de confianza

Política de divulgación de vulnerabilidades

Introducción

Forward Thinking Systems da prioridad a la seguridad de nuestros clientes, colegas y socios salvaguardando sus datos. Reconocemos la importancia de colaborar con expertos independientes, organismos mundiales del sector, socios y la comunidad mundial en general para detectar posibles fallos tecnológicos. Esta Política de Divulgación de Vulnerabilidades (esta "VDP") tiene como objetivo proporcionar a los investigadores de seguridad un marco claro para los procesos de detección de vulnerabilidades y describe nuestros métodos preferidos para informarnos sobre vulnerabilidades.

Esta política especifica qué sistemas y áreas de investigación están cubiertos, cómo informar de las vulnerabilidades a Forward Thinking Systems y establece el plazo que solicitamos a los investigadores de seguridad para que no divulguen públicamente las vulnerabilidades.

Le animamos a que se ponga en contacto con nosotros de acuerdo con esta política para informarnos de posibles vulnerabilidades en nuestros productos.

Autorización

Si hace un esfuerzo de buena fe para adherirse a esta política durante sus investigaciones de seguridad, reconoceremos su investigación como autorizada. Colaboraremos con usted para abordar y resolver rápidamente el problema, y Forward Thinking Systems se abstendrá de sugerir o buscar acciones legales en relación con sus hallazgos. Si un tercero inicia acciones legales contra usted por acciones realizadas de conformidad con esta política, haremos constar esta autorización.

Directrices

Con arreglo a esta política, se entiende por "investigación" las actividades en las que:

  • Notifíquenos lo antes posible si descubre un problema de seguridad real o potencial.
  • Haga todo lo posible para evitar violaciones de la privacidad, la degradación de la experiencia del usuario, cualquier interrupción de los sistemas de producción y la manipulación o destrucción de datos.
  • Utilice los exploits sólo en la medida necesaria para confirmar la existencia de una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer el acceso a un sistema o utilizar el exploit para pivotar a otros sistemas.
  • Concédanos un plazo razonable para resolver el problema antes de divulgarlo públicamente.
  • No presente un volumen considerable de informes de baja calidad.

Tras confirmar la presencia de una vulnerabilidad o descubrir cualquier dato sensible (como datos de identificación personal, información o registros financieros, o información propiedad de terceros o secretos comerciales), debe detener todas las pruebas, notificárnoslo inmediatamente y abstenerse de compartir estos datos con nadie.

Importante

Al notificar problemas, omita cualquier información sensible o personal (como datos de identificación personal, información o registros financieros, o información de propiedad de terceros o secretos comerciales) en las pruebas que proporcione.

Sólo podrá acceder e interactuar con cuentas de su propiedad o cuentas para las que cuente con el permiso explícito del titular o titulares de la cuenta. Los métodos empleados para examinar o validar un asunto deben estar en consonancia con lo que generalmente se considera razonable y de buena fe, como por ejemplo, a título meramente enunciativo y no limitativo:

  • No cause daños potenciales o reales a nuestros sistemas, aplicaciones o usuarios. Por ejemplo, desplegar ataques de fuerza bruta para acceder a nuestras aplicaciones, productos o servicios. DDOS o cualquier otra prueba disruptiva.
  • Están estrictamente prohibidos el scraping y el fuzzing automatizados o la realización de escaneos grandes o ciegos mediante herramientas de automatización.
  • No realice ataques dirigidos contra centros de datos, socios, filiales y/o bienes del personal.
  • No lleve a cabo actividades de ingeniería social (p. ej., phishing, smishing, vishing) para obtener acceso a personal, colegas, aplicaciones, productos o servicios de Forward Thinking Systems.
  • No explote una vulnerabilidad (conocida o no) para ver datos no autorizados o corruptos. Cuando valide una filtración, pruebe sólo la cantidad mínima necesaria para demostrar o validar el problema. Absténgase de descargar más datos de los absolutamente necesarios para demostrar el problema o de modificar o borrar datos.

Notificación de vulnerabilidades

Si se descubre una vulnerabilidad, el investigador debe proporcionar un resumen detallado de la misma, que incluya (pero no se limite a) lo siguiente:

  • Descripciones claras de la vulnerabilidad y su impacto potencial;
  • Nombre del producto, versión y configuración de cualquier software o hardware que pueda estar potencialmente afectado;
  • Instrucciones paso a paso para reproducir el problema;
  • Una prueba de concepto; y medidas de corrección o mitigación sugeridas, según proceda.

Aceptamos el envío de informes de vulnerabilidad por correo electrónico a [email protected]. En caso necesario, las denuncias pueden presentarse de forma anónima. Si comparte información de contacto con nosotros, acusaremos recibo de su denuncia en un plazo de tres días laborables.

Al enviar una vulnerabilidad, reconoce que cualquier recompensa potencial queda a discreción de Forward Thinking Systems, que no tiene expectativas de compensación y que renuncia expresamente a cualquier reclamación de pago futura contra Forward Thinking Systems.

Lo que nos gustaría ver de su presentación

Para ayudarnos a tratar y priorizar los envíos de vulnerabilidades, recomendamos que sus informes de vulnerabilidades:

  • Describa el lugar donde se descubrió la vulnerabilidad y el impacto potencial del uso del exploit.
  • Ofrece una descripción exhaustiva de los pasos necesarios para reproducir la vulnerabilidad (se recomiendan capturas de pantalla o scripts de prueba de concepto).
  • Se divulgan en inglés, si es posible.

Qué puede esperar de nosotros

Si decide compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la forma más rápida y abierta posible.

  • Acusaremos recibo de su informe de vulnerabilidad en un plazo de 3 días laborables.
  • En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más abiertos posible sobre nuestro proceso de reparación, incluidos los problemas o retos que puedan retrasar la resolución.
  • Nos esforzaremos por mantener un diálogo abierto para debatir la cuestión o cuestiones.

Preguntas

Las preguntas relativas a esta política pueden enviarse directamente a [email protected]. También le invitamos a ponerse en contacto con nosotros para hacernos llegar sus sugerencias para mejorar esta política.

Legal

Acuerdo de confidencialidad: Cualquier detalle sobre vulnerabilidades que descubra debe ser tratado como confidencial para Forward Thinking Systems. Usted se compromete a no compartir públicamente, o revelar a terceros (excluyendo Forward Thinking Systems), cualquiera de los datos confidenciales o información sensible sin recibir el consentimiento previo por escrito del equipo de Seguridad de la Información de Forward Thinking Systems. En caso de que el equipo de Seguridad de la Información de Forward Thinking Systems lo solicite, usted se compromete a devolver o destruir inmediatamente todas y cada una de las copias de dichos datos confidenciales, así como cualquier nota relacionada.

Debe cumplir todas las leyes, normas y reglamentos aplicables (incluidos los locales) con respecto a sus actividades relacionadas con el VDP de Forward Thinking Systems. Si se aprueba una recompensa, no se le entregarán recompensas si está (a) en una lista del Gobierno de EE.UU. de personas restringidas o sancionadas o afiliado a alguna entidad restringida o sancionada o (b) en un país embargado por EE.UU. (Estados Unidos).

Forward Thinking Systems se reserva el derecho de modificar los términos y condiciones de este VDP de vez en cuando y su participación en el Programa VDP constituye la aceptación de todos y cada uno de los términos. Por favor, revise esta política con regularidad ya que actualizamos rutinariamente nuestros términos y elegibilidad del PDV, que son efectivos desde el momento de su publicación. Nos reservamos el derecho a cancelar este Programa VDP en cualquier momento.