Política de Divulgación de Vulnerabilidades

Socialinsider - un producto de Code Path SRL

Socialinsider se compromete a garantizar la seguridad de sus usuarios protegiendo su información. Esta política ofrece a los investigadores de seguridad pautas para realizar actividades de detección de vulnerabilidades e instrucciones sobre cómo enviarlas.

Esta política describe qué sistemas y tipos de investigación cubre, cómo enviarnos reportes de vulnerabilidades y el tiempo que solicitamos a los investigadores de seguridad esperar antes de divulgar públicamente las vulnerabilidades. Te animamos a contactarnos para informar vulnerabilidades potenciales en nuestros sistemas.

Si haces un esfuerzo de buena fe para cumplir con esta política durante tu investigación de seguridad, consideraremos tu investigación como autorizada y colaboraremos contigo para entender y resolver el problema rápidamente. Socialinsider no recomendará ni emprenderá acciones legales relacionadas con tu investigación. Si un tercero inicia acciones legales en tu contra por actividades realizadas de acuerdo con esta política, informaremos sobre esta autorización.

Pautas

Según esta política, "investigación" significa actividades en las que tú, como investigador de seguridad:

  • Nos notificas lo antes posible después de descubrir cualquier problema de seguridad.
  • Haces todo lo posible por evitar violaciones de privacidad, degradación de la experiencia de usuario, interrupciones en los sistemas de producción y destrucción o manipulación de datos.
  • Utilizas exploits solo en la medida necesaria para confirmar la existencia de una vulnerabilidad. No uses un exploit para comprometer o exfiltrar datos, establecer acceso persistente por línea de comandos ni para pivotar a otros sistemas.
  • Nos das un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
  • No envíes un alto volumen de informes de baja calidad.

Para ayudarnos a comprender los informes te recomendamos que tu envío:

  • Describa la ubicación donde se descubrió la vulnerabilidad y el posible impacto de su explotación.
  • Incluya una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad; las capturas de pantalla o grabaciones de video son útiles.
  • Redacta el informe en inglés.

Una vez que confirmes la existencia de una vulnerabilidad o encuentres cualquier dato sensible (incluyendo información personal identificable, información financiera o información propietaria o secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.

Prácticas prohibidas

No están autorizados los siguientes métodos de prueba:

  • Pruebas de denegación de servicio (DoS o DDoS) u otras pruebas que afecten el acceso a los sistemas
  • Pruebas de vulnerabilidades no técnicas

Esta política se aplica a los siguientes sistemas y servicios:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Cualquier servicio que no se mencione expresamente arriba, como servicios conectados, queda fuera del alcance y no está autorizado para pruebas.
Además, las vulnerabilidades encontradas en sistemas de nuestros proveedores están fuera del alcance de esta política y deben ser reportadas directamente al proveedor según su política de divulgación (si existe).
Si no tienes claro si un sistema está incluido o no, contacta con nosotros en security@socialinsider.io antes de comenzar tu investigación.

Si consideras que algún sistema fuera del alcance merece ser probado, contáctanos primero para analizarlo. El alcance de esta política puede aumentar con el tiempo.

Reportar una vulnerabilidad

La información enviada bajo esta política se usará únicamente con fines defensivos, para mitigar o remediar vulnerabilidades.

Si tus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no únicamente a Socialinsider, podemos compartir tu informe con terceros, donde se gestionará bajo su propio proceso de divulgación coordinada de vulnerabilidades.

No compartiremos tu información de contacto sin tu permiso expreso.
Aceptamos informes de vulnerabilidades a través de security@socialinsider.io. Los informes pueden enviarse de forma anónima.

Si decides compartir tu información de contacto con nosotros, nos comprometemos a coordinarnos contigo de la manera más abierta y rápida posible.

  • En un plazo de 7 días hábiles, confirmaremos la recepción de tu informe.
  • Te confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de remediación.
  • Mantendremos una conversación sobre los problemas.