Política de divulgación de vulnerabilidades.

Socialinsider - un producto de Code Path SRL.

Socialinsider se compromete a garantizar la seguridad de sus usuarios protegiendo su información. Esta política ofrece a los investigadores de seguridad directrices para realizar actividades de descubrimiento de vulnerabilidades y instrucciones sobre cómo enviarnos vulnerabilidades.

Esta política describe qué sistemas y tipos de investigación están cubiertos, cómo enviarnos informes de vulnerabilidades y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades públicamente. Te animamos a contactarnos para reportar posibles vulnerabilidades en nuestros sistemas.

Si haces un esfuerzo de buena fe para cumplir con esta política durante tu investigación de seguridad, consideraremos tu investigación como autorizada y trabajaremos contigo para entender y resolver el problema rápidamente, y Socialinsider no recomendará ni tomará acciones legales relacionadas con tu investigación. Si un tercero inicia acciones legales en tu contra por actividades realizadas de acuerdo con esta política, haremos que esta autorización sea conocida.

Directrices

Bajo esta política, “investigación” significa actividades en las que tú, como investigador de seguridad:

  • Nos notifiques lo antes posible después de descubrir cualquier problema de seguridad.
  • Hagas todo lo posible por evitar violaciones de privacidad, deterioro de la experiencia del usuario, interrupciones en sistemas de producción y destrucción o manipulación de datos.
  • Utilices exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No uses un exploit para comprometer o exfiltrar datos, establecer acceso persistente por línea de comandos, o usar el exploit para pivotar a otros sistemas.
  • Nos brindes un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
  • No envíes un volumen alto de informes de baja calidad.

Para ayudarnos a entender los informes, te recomendamos que tu envío:

  • Describa la ubicación donde se descubrió la vulnerabilidad y el impacto potencial de la explotación.
  • Proporciones una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad; capturas de pantalla o grabaciones en video son útiles.
  • Escribas la presentación en inglés.

Una vez que hayas establecido que existe una vulnerabilidad o encuentres datos sensibles (incluyendo información personal identificable, información financiera, o información propietaria o secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos inmediatamente y no divulgar estos datos a nadie más.

Prácticas prohibidas

Los siguientes métodos de prueba no están autorizados:

  • Pruebas de denegación de servicio (DoS o DDoS) u otras pruebas que impidan el acceso a sistemas
  • Pruebas de vulnerabilidades no técnicas

Esta política se aplica a los siguientes sistemas y servicios:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Cualquier servicio no expresamente listado arriba, como servicios conectados, queda fuera del alcance y no está autorizado para pruebas.
Además, las vulnerabilidades encontradas en sistemas de nuestros proveedores están fuera del alcance de esta política y deben ser reportadas directamente al proveedor según su política de divulgación (si la tienen).
Si no estás seguro de si un sistema está en alcance o no, contáctanos en [email protected] antes de comenzar tu investigación.

Si hay un sistema en particular fuera del alcance que crees que merece ser probado, contáctanos primero para discutirlo. El alcance de esta política puede ampliarse con el tiempo.

Reportar una vulnerabilidad

La información enviada bajo esta política se usará solo con fines defensivos – para mitigar o remediar vulnerabilidades.

Si tus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a Socialinsider, podemos compartir tu informe con terceros, donde será gestionado bajo su proceso coordinado de divulgación de vulnerabilidades.

No compartiremos tu información de contacto sin permiso expreso.
Aceptamos informes de vulnerabilidades a través de [email protected]. Los informes pueden enviarse de forma anónima.

Cuando elijas compartir tu información de contacto con nosotros, nos comprometemos a coordinar contigo de manera abierta y rápida.

  • En 7 días hábiles, confirmaremos que hemos recibido tu informe.
  • Confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentos posible sobre los pasos que tomamos durante la remediación.
  • Mantendremos una conversación sobre los problemas.