Introducción
En Ivalua, si bien no damos permiso para auditar activamente nuestra infraestructura, sí alentamos la divulgación responsable de cualquier vulnerabilidad que pueda encontrarse en nuestros sistemas o aplicaciones.
Alcance
Estas pautas se aplican a cualquier activo digital que Ivalua posea, opere o mantenga, incluidos, entre otros, sitios web, aplicaciones y bases de datos.
Estas pautas no se aplican a los clientes o usuarios autorizados existentes de Ivalua. Si es un Usuario autorizado, las pruebas de seguridad de vulnerabilidades y los derechos y restricciones de divulgación solo se establecen expresamente en el acuerdo de su organización con Ivalua.
Cómo divulgar una vulnerabilidad
Para revelar una vulnerabilidad de seguridad, siga estos pasos:
- Envíe sus hallazgos por email: envíe un email a .
- Proporcione información detallada: incluya tanta información como sea posible sobre la vulnerabilidad, como por ejemplo:
- La URL o ubicación de la vulnerabilidad.
- Una descripción detallada de la vulnerabilidad.
- Pasos para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla pueden resultar útiles).
- Cualquier posible impacto de la vulnerabilidad.
- Manténgalo confidencial: no revele la vulnerabilidad a otros hasta que hayamos tenido la oportunidad de investigarla y abordarla.
Qué esperar después de informar una vulnerabilidad
- Acuse de recibo: nuestro objetivo es acusar el recibo de su informe.
- Comunicación: si se considera apropiado, mantendremos comunicación con usted sobre el estado de su informe.
- Evaluación y validación: nuestros equipos internos evaluarán y validarán la vulnerabilidad reportada.
- Remediación: evaluaremos los hallazgos reportados y remediaremos/mitigaremos las vulnerabilidades validadas de acuerdo con nuestras políticas y procesos internos.
- Divulgación: si es necesario, coordinaremos con usted el momento y los detalles de cualquier divulgación pública.
Exclusiones
Tenga en cuenta que participar en pruebas o alentar a otros a probar sistemas de terceros sin permiso generalmente se considera acceso no autorizado según diversas leyes, como la Ley de Fraude y Abuso Informático (CFAA, por sus siglas en inglés) en los Estados Unidos y leyes similares en otras jurisdicciones.
En consecuencia, no están autorizados los siguientes métodos de ensayo:
- Ataques de denegación de servicio (DoS o DDoS).
- Ataques físicos contra nuestras oficinas o centros de datos.
- Ataques de ingeniería social y spam contra nuestros empleados, contratistas o clientes.
- Escaneo automatizado de activos de Ivalua.
- Cualquier otra actividad que pueda perturbar, dañar o perjudicar a nuestros usuarios o servicios.
- Intentos de inicio de sesión por parte de usuarios no autorizados en los sistemas de Ivalua.
- Intenta explotar cualquier vulnerabilidad identificada o reportada.
Información de contacto
Para cualquier informe o pregunta sobre esta política o el proceso de presentación de informes, comuníquese con .