Política de divulgación de vulnerabilidad
1. Introducción
NetHunt CRM se compromete a garantizar la seguridad de los datos al proteger la información de la divulgación injustificada. Esta política se introduce para dar a los investigadores de seguridad pautas para realizar actividades de descubrimiento de vulnerabilidades e informar sobre cómo reportar vulnerabilidades descubiertas. Esta política describe qué sistemas y tipos de actividades están cubiertos por esta política, cómo enviar informes de vulnerabilidad y cuánto tiempo solicitamos esperar antes de anunciar públicamente las vulnerabilidades descubiertas.
2. Pautas
Le solicitamos que:
- Nos notifique lo antes posible después de descubrir un problema de seguridad real o potencial
- Nos brinde un tiempo razonable para resolver un problema antes de divulgarlo públicamente
- Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos
- Solo use exploits en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer u obtener datos, establecer el acceso a la línea de comando y / o persistencia, o use un exploit para "pivotar" a otros sistemas
- Una vez que haya establecido que existe una vulnerabilidad o encuentre datos confidenciales (incluidos datos personales, información financiera o información de propiedad o secretos comerciales de cualquier parte), debe detener su prueba, notificarnos enseguida y mantener los datos estrictamente confidenciales
- No envíe un gran volumen de informes de baja calidad
3. Autorización
La investigación de seguridad realizada de conformidad con esta política se considera autorizada. Trabajaremos con usted para comprender y resolver un problema rápidamente, y NetHunt CRM no recomendará ni emprenderá acciones legales relacionadas con su investigación.
4. Alcance
Esta política se aplica a los siguientes sistemas y servicios:
- sitio web nethunt.com
- NetHunt CRM para web
- Aplicación móvil NetHunt CRM para Android
- Aplicación móvil NetHunt CRM para iOS
- Extensión del navegador NetHunt CRM para Chrome
- Extensión del navegador NetHunt CRM para Safari
- Componentes de integración de NetHunt CRM listados aquí: https://nethunt.es/integrations
Cualquier servicio que no esté expresamente mencionado anteriormente, como los servicios conectados, están excluidos del alcance y no están autorizados para realizar pruebas. Además, las vulnerabilidades encontradas en soluciones de terceros que NetHunt CRM se integra quedan fuera del alcance de esta política y deben informarse directamente al proveedor de la solución de acuerdo con su política de divulgación (si hay uno). Si no está seguro de si un sistema o punto final está dentro del alcance o no, contáctenos en security@nethunt.com antes de comenzar su investigación.
5. Tipos de prueba
Los siguientes tipos de prueba no están autorizados:
- Pruebas de denegación de servicio de red (DoS o DDoS)
- Pruebas físicas (por ejemplo, acceso a la oficina, puertas abiertas, tailgating), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica
6. Informes de una vulnerabilidad
Envíe un email a security@nethunt.com para informar cualquier vulnerabilidad de seguridad. Acusaremos un recibo de su informe de vulnerabilidad el próximo día laboral y nos comunicaremos con usted sobre nuestro progreso. Los informes pueden presentarse de forma anónima security@nethunt.com.
7. Información deseable
Para procesar y reaccionar a un informe de vulnerabilidad, recomendamos incluir la siguiente información:
- Descripción de la vulnerabilidad
- Lugar de descubrimiento
- Impacto potencial
- Pasos necesarios para reproducir una vulnerabilidad (incluir scripts y capturas de pantalla si es posible)
Si es posible, proporcione su informe en inglés.
8. Nuestro compromiso
Si elige proporcionar su información de contacto, nos comprometemos a coordinar con usted de la manera más abierta y rápida posible. Admitiremos dentro de 3 días hábiles que su informe ha sido recibido.
En la medida de nuestras posibilidades, le mantendremos informado sobre la confirmación y reparación de vulnerabilidades. Estamos abiertos a un diálogo para una discusión de temas.
- NetHunt Inc.
- 651 N Broad St, Suite 206
- Middletown, DE 19709
- Estados Unidos
Última actualización: 5 de mayo de 2020