Directrices de divulgación de vulnerabilidades

Introducción

En Ivalua, si bien no damos permiso para auditar activamente nuestra infraestructura, sí alentamos la divulgación responsable de cualquier vulnerabilidad que pueda encontrarse en nuestros sistemas o aplicaciones. Estas pautas brindan orientación sobre cómo divulgar vulnerabilidades de manera responsable y describen lo que puede esperar de nosotros en términos de respuesta.

Alcance

Estas pautas se aplican a cualquier activo digital que Ivalua posea, opere o mantenga, incluidos, entre otros, sitios web, aplicaciones y bases de datos. No se otorga ninguna autorización con respecto a las actividades descritas a continuación como excluidas (ver "Exclusiones").

Estas pautas no se aplican a los clientes o usuarios autorizados existentes de Ivalua. Si es un Usuario autorizado, las pruebas de seguridad de vulnerabilidades y los derechos y restricciones de divulgación solo se establecen expresamente en el acuerdo de su organización con Ivalua.

Cómo divulgar una vulnerabilidad

Para revelar una vulnerabilidad de seguridad, siga estos pasos:

• Envíe sus hallazgos por email: envíe un email a [email protected].
• Proporcione información detallada: incluya tanta información como sea posible sobre la vulnerabilidad, como por ejemplo:
  • La URL o ubicación de la vulnerabilidad.
  • Una descripción detallada de la vulnerabilidad.
  • Pasos para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla pueden resultar útiles).
  • Cualquier posible impacto de la vulnerabilidad.
  • Manténgalo confidencial: no revele la vulnerabilidad a otros hasta que hayamos tenido la oportunidad de investigarla y abordarla.

Qué esperar después de informar una vulnerabilidad

• Acuse de recibo: nuestro objetivo es acusar el recibo de su informe.
• Comunicación: si se considera apropiado, mantendremos comunicación con usted sobre el estado de su informe.
• Evaluación y validación: nuestros equipos internos evaluarán y validarán la vulnerabilidad reportada.
• Remediación: evaluaremos los hallazgos reportados y remediaremos/mitigaremos las vulnerabilidades validadas de acuerdo con nuestras políticas y procesos internos.
• Divulgación: si es necesario, coordinaremos con usted el momento y los detalles de cualquier divulgación pública.

Exclusiones

Estas pautas no constituyen una renuncia a ningún derecho que Ivalua tendría según la ley aplicable. Tenga en cuenta que participar en pruebas o alentar a otros a probar sistemas de terceros sin permiso generalmente se considera acceso no autorizado según diversas leyes, como la Ley de Fraude y Abuso Informático (CFAA, por sus siglas en inglés) en los Estados Unidos y leyes similares en otras jurisdicciones. Esto puede dar lugar a responsabilidades penales y civiles tanto para los organizadores como para los participantes de cualquier forma de prueba de seguridad no autorizada.

En consecuencia, no están autorizados los siguientes métodos de ensayo:

• Ataques de denegación de servicio (DoS o DDoS).
• Ataques físicos contra nuestras oficinas o centros de datos.
• Ataques de ingeniería social y spam contra nuestros empleados, contratistas o clientes.
• Escaneo automatizado de activos de Ivalua.
• Cualquier otra actividad que pueda perturbar, dañar o perjudicar a nuestros usuarios o servicios.
• Intentos de inicio de sesión por parte de usuarios no autorizados en los sistemas de Ivalua.
• Intenta explotar cualquier vulnerabilidad identificada o reportada.

Información de contacto

Para cualquier informe o pregunta sobre esta política o el proceso de presentación de informes, comuníquese con [email protected].