Divulgación Responsable
Política de Divulgación Responsable
Sección titulada «Política de Divulgación Responsable»En Xahau, creemos que la seguridad de nuestros sistemas es extremadamente importante.
A pesar de nuestra preocupación por la seguridad de nuestros sistemas durante el desarrollo y mantenimiento de productos, siempre existe la posibilidad de que alguien encuentre algo que necesitemos mejorar/actualizar/cambiar/arreglar /…
Agradecemos que nos notifiques si has encontrado un punto débil en alguno de nuestros sistemas lo antes posible para que podamos tomar medidas inmediatamente para proteger a nuestros clientes y sus datos.
Cómo reportar
Sección titulada «Cómo reportar»Si crees que has encontrado un problema de seguridad en uno de nuestros sistemas, notifícanos lo antes posible publicando una descripción general de alto nivel de tu hallazgo y tu información de contacto (para que alguien pueda comunicarse contigo) en Github: https://github.com/Xahau/xahaud/issues
Esta política de divulgación responsable no es una invitación abierta a escanear activamente nuestra red y aplicaciones en busca de vulnerabilidades. Nuestro monitoreo continuo probablemente detectará tus escaneos, y estos serán investigados.
Te pedimos que:
Sección titulada «Te pedimos que:»- No compartas información sobre el problema de seguridad con otros hasta que el problema esté resuelto, y que elimines inmediatamente cualquier dato confidencial obtenido
- No abuses del problema, por ejemplo, descargando más datos de los necesarios para demostrar la filtración o para ver, eliminar o modificar datos de terceros
- Proporciones información detallada para que podamos reproducir, validar y resolver el problema lo antes posible. Incluye tus datos de prueba, marcas de tiempo y URL(s) de los sistemas involucrados
- Dejes tus datos de contacto (dirección de correo electrónico y/o número de teléfono) para que podamos contactarte sobre el progreso de la solución. Aceptamos informes anónimos
- No utilices ataques a la seguridad física, ingeniería social, denegación de servicio distribuida, spam o aplicaciones de terceros
Procedimiento(s) de divulgación responsable
Sección titulada «Procedimiento(s) de divulgación responsable»Cuando reportes un problema de seguridad, actuaremos de la siguiente manera:
Sección titulada «Cuando reportes un problema de seguridad, actuaremos de la siguiente manera:»- Recibirás una confirmación de recepción dentro de los 4 días laborables posteriores al envío del informe
- Recibirás una respuesta con la evaluación del problema de seguridad y una fecha estimada de resolución dentro de los 4 días laborables posteriores a la confirmación de recepción
- No tomaremos acciones legales contra ti en relación con el informe si has cumplido las condiciones establecidas anteriormente
- Trataremos tu informe de manera confidencial y no compartiremos tus datos con terceros sin tu permiso, salvo que sea necesario para cumplir con una obligación legal
Este esquema de divulgación responsable no está destinado a:
Sección titulada «Este esquema de divulgación responsable no está destinado a:»- Quejas
- Informes de sitios web no disponibles
- Informes de phishing
- Informes de fraude
Para estas quejas o informes, publica una descripción general de alto nivel de tu problema y tu información de contacto (para que alguien pueda comunicarse contigo) en Github: https://github.com/Xahau/xahaud/issues
Programa de recompensas (bug bounty)
Sección titulada «Programa de recompensas (bug bounty)»Xahau fomenta el reporte de problemas de seguridad o vulnerabilidades. Podemos ofrecer una recompensa adecuada por la divulgación confidencial de cualquier problema de diseño o implementación que pueda ser utilizado para comprometer la confidencialidad o integridad de los datos de nuestros usuarios y que aún no conocíamos. Decidimos si el informe es elegible y la cantidad de la recompensa.
Exclusiones
Sección titulada «Exclusiones»Se excluyen los siguientes tipos de problemas de seguridad:
Sección titulada «Se excluyen los siguientes tipos de problemas de seguridad:»- Ataques (D)DOS
- Mensajes o páginas de error sin datos sensibles
- Pruebas y datos de ejemplo disponibles públicamente en nuestros repositorios de Github
- Problemas comunes como advertencias de cabeceras del navegador o configuración DNS, identificados por escáneres de vulnerabilidades
- Informes de escaneos de vulnerabilidades para software que usamos públicamente
- Problemas de seguridad relacionados con sistemas operativos, navegadores o plugins desactualizados
- Informes de problemas de seguridad de los que ya hemos sido notificados previamente
Ten en cuenta: Los informes que carezcan de pruebas (como capturas de pantalla u otros datos), información detallada o detalles sobre cómo reproducir resultados inesperados serán investigados, pero no serán elegibles para ninguna recompensa.
Esta política se basa en las Directrices de Divulgación Responsable del Centro Nacional de Ciberseguridad y en un ejemplo de Floor Terra.