Política de divulgación de vulnerabilidades
Si cree que ha encontrado una vulnerabilidad de seguridad relacionada con un producto o servicio de STRONG, envíenos su informe.
De: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Austria
Publicado en abril de 2024
Contenido
- Introducción
- Informes
- Qué esperar
- Orientación
- Legalidades
Introducción
Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad que esté considerando comunicar a STRONG. Recomendamos leer esta política de divulgación de vulnerabilidades en su totalidad antes de informar de una vulnerabilidad y actuar siempre de conformidad con ella.
Valoramos a quienes se toman el tiempo y el esfuerzo de informar sobre vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas monetarias por la divulgación de vulnerabilidades.
Informes
Si cree que ha encontrado un fallo de seguridad, envíenos su informe utilizando el siguiente formulario de contacto y eligiendo la naturaleza "Fallo de seguridad" : *****(lien formulaire de contact)*****
Qué esperar
Una vez que haya enviado su informe, le responderemos en un plazo de 5 días laborables y trataremos de analizarlo en un plazo de 10 días laborables. También nos esforzaremos por mantenerle informado de nuestros progresos.
La prioridad de la corrección se evalúa teniendo en cuenta el impacto, la gravedad y la complejidad del exploit. Los informes de vulnerabilidad pueden tardar algún tiempo en clasificarse o solucionarse; en algunos casos, la reparación puede tardar hasta 90 días o más. Puede consultar el estado, pero evite hacerlo más de una vez cada 14 días. Esto permite a nuestros equipos centrarse en la corrección.
Le notificaremos cuando se solucione la vulnerabilidad notificada, y es posible que se le invite a confirmar que la solución cubre la vulnerabilidad adecuadamente.
Una vez resuelta su vulnerabilidad, agradeceremos las solicitudes de divulgación de su informe. Nos gustaría unificar la orientación a los usuarios afectados, así que por favor continúe coordinando la divulgación pública con nosotros.
Orientación
Usted NO debe:
- incumplir cualquier ley o normativa aplicable
- acceder a cantidades innecesarias, excesivas o significativas de datos
- modificar datos en los sistemas o servicios de STRONG
- utilizar herramientas de exploración invasivas o destructivas de alta intensidad para encontrar vulnerabilidades
- intentar o denunciar cualquier forma de denegación de servicio, por ejemplo, saturar un servicio con un gran volumen de solicitudes
- perturbar los servicios o sistemas de STRONG
- presentar informes en los que se detallen vulnerabilidades no explotables, o informes que indiquen que los servicios no se ajustan plenamente a las "mejores prácticas", por ejemplo, la falta de encabezados de seguridad.
- comunicar cualquier vulnerabilidad o detalles asociados por medios distintos a los descritos en esta Política
- realizar ingeniería social, "phishing" o atacar físicamente al personal o la infraestructura de la Organización
- exigir una compensación económica para revelar cualquier vulnerabilidad
Debes hacerlo:
- cumplir siempre las normas de protección de datos y no debe violar la privacidad de los usuarios, el personal, los contratistas, los servicios o los sistemas de STRONG. No debe, por ejemplo, compartir, redistribuir o no proteger adecuadamente los datos recuperados de los sistemas o servicios.
- elimine de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o en el plazo de 1 mes desde la resolución de la vulnerabilidad, lo que ocurra primero (o según exija la legislación sobre protección de datos).
Legalidades
Esta política está diseñada para ser compatible con las buenas prácticas habituales en materia de divulgación de vulnerabilidades. No le da permiso para actuar de ninguna manera que sea incompatible con la ley, o que pueda causar que la Organización o las organizaciones asociadas incumplan cualquier obligación legal.
Sin embargo, si un tercero inicia una acción legal contra usted y usted ha cumplido con esta política, podemos tomar medidas para hacer saber que sus acciones se llevaron a cabo de conformidad con esta política.
Gracias por contribuir a la seguridad de STRONG y de nuestros clientes.