Objetivo
En MyPassGlobal nos tomamos muy en serio la seguridad de nuestros productos, servicios y sistemas. Los productos de software que creamos y de los que somos propietarios, así como los productos, servicios y bibliotecas que incorporamos a nuestros propios productos, son susceptibles de sufrir vulnerabilidades.
Creemos en la importancia de colaborar con la comunidad de seguridad para identificar y resolver de forma responsable las posibles vulnerabilidades de seguridad.
Esta Política de divulgación responsable describe las directrices y los procedimientos para que los investigadores de seguridad, los hackers éticos y las personas interesadas ("Investigadores") nos comuniquen de forma responsable cualquier vulnerabilidad de seguridad descubierta.
Alcance
Esta Política de Divulgación Responsable se aplica a todos nuestros servicios en línea, sitios web, aplicaciones y sistemas. Al enviar una denuncia en virtud de esta política, usted acepta cumplir las condiciones y directrices aquí mencionadas.
Directrices para una divulgación responsable
Animamos a los investigadores a que actúen de forma responsable y de buena fe a la hora de identificar y notificar vulnerabilidades de seguridad. Para cumplir esta política, siga las siguientes directrices:
Vulnerabilidades admisibles
Envíe únicamente informes sobre vulnerabilidades de seguridad que no sean de dominio público y que puedan poner en peligro la seguridad o integridad de nuestros sistemas o los datos de los usuarios. Entre los ejemplos de vulnerabilidades elegibles se incluyen:
- Secuencias de comandos cruzadas (XSS) ensitio de trabajo
- Falsificación de petición cruzadasitio de trabajo (CSRF/XSRF)
- Ejecución de código en el servidor
- Escalada de privilegios
- Inyección SQL
- Ejecución remota de código
- Divulgación de la información
Actividades prohibidas
Por favor, absténgase de participar en cualquier actividad perjudicial o perturbadora, como:
- Intentar acceder, modificar o borrar datos no relacionados con su investigación.
- Realizar pruebas en sistemas o redes que no sean de su propiedad o para los que no tenga permiso explícito.
- Distribuir o compartir cualquier información confidencial obtenida durante su investigación.
- Realizar cualquier forma de ataque de denegación de servicio (DoS) o actividades similares.
- Ingeniería social, incluido el phishing u otras técnicas engañosas.
Procedimiento de divulgación responsable
Si cree que ha descubierto una posible vulnerabilidad de seguridad, siga estos pasos para comunicárnosla de forma responsable:
- Presentación de informes: Envíe sus conclusiones a vulnerability-report@mypassglobal.com. Cifre su correo electrónico utilizando nuestra clave PGP (https://www.mypassglobal.com/.well-known/pgp-key.txt) para garantizar la confidencialidad de su informe.
- Proporcione información suficiente: Incluye tanta información como sea posible para ayudarnos a entender y reproducir la vulnerabilidad. Esto puede incluir la descripción de la vulnerabilidad, las URL afectadas, los pasos para reproducirla, capturas de pantalla y cualquier material de apoyo.
- No explotar: No intentes explotar la vulnerabilidad más allá de lo necesario para demostrar su existencia.
- Tiempo de respuesta: haremos todo lo posible por acusar recibo de su informe en un plazo de 5 días y le mantendremos informado del progreso.
- Coordinación: Nos comprometemos a colaborar con usted para comprender, verificar y resolver la vulnerabilidad notificada.
- Divulgación pública: Coordinaremos con usted el momento y el contenido de cualquier divulgación pública relativa a la vulnerabilidad.
Agradecimiento y reconocimiento
reconocemos las valiosas contribuciones de los investigadores de seguridad y reconoceremos su divulgación responsable. No ofrecemos compensación por los informes de vulnerabilidades potenciales o verificadas.Dependiendo de la gravedad y el impacto de la vulnerabilidad, también podemos ofrecer reconocimiento a través de nuestro sitio web, blog u otras plataformas.
Consideraciones jurídicas
MyPass Global no iniciará acciones legales contra los Investigadores que actúen de forma responsable, sigan esta Política de Divulgación Responsable y se esfuercen de buena fe por cumplir sus directrices.
Cambios políticos
Nos reservamos el derecho a actualizar o modificar esta Política de Divulgación Responsable en cualquier momento. Cualquier cambio será publicado en esta página, y la fecha revisada en la parte superior reflejará la actualización más reciente.
Información de contacto
Si tiene alguna pregunta o duda sobre esta política o necesita informar de una vulnerabilidad de seguridad, póngase en contacto con nosotros en: Correo electrónico: vulnerability-report@mypassglobal.com
Gracias por ayudarnos a mantener la seguridad e integridad de nuestros sistemas y a proteger los datos de nuestros usuarios. Su cooperación y adhesión a esta Política de divulgación responsable son muy apreciadas.
Equipo de seguridad global de MyPass