Política de Divulgación de Vulnerabilidades

Socialinsider - un producto de Code Path SRL

Socialinsider se compromete a garantizar la seguridad de sus usuarios protegiendo su información. Esta política ofrece a los investigadores de seguridad directrices para realizar actividades de descubrimiento de vulnerabilidades e instrucciones sobre cómo enviarnos vulnerabilidades.

Esta política describe qué sistemas y tipos de investigación están cubiertos bajo esta política, cómo enviarnos informes de vulnerabilidad y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de divulgar públicamente las vulnerabilidades. Te animamos a contactarnos para informar sobre posibles vulnerabilidades en nuestros sistemas.

Si haces un esfuerzo de buena fe para cumplir con esta política durante tu investigación de seguridad, consideraremos autorizada tu investigación y colaboraremos contigo para comprender y resolver el problema rápidamente, y Socialinsider no recomendará ni emprenderá acciones legales relacionadas con tu investigación. Si un tercero inicia acciones legales en tu contra por actividades realizadas de acuerdo con esta política, haremos saber esta autorización.

Directrices

Según esta política, “investigación” significa las actividades en las que tú, como investigador de seguridad:

  • Nos notificas lo antes posible después de descubrir cualquier problema de seguridad.
  • Haces todo lo posible para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupciones en los sistemas de producción y destrucción o manipulación de datos.
  • Usas exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No uses un exploit para comprometer o exfiltrar datos, establecer acceso persistente por línea de comandos o para pivotar a otros sistemas.
  • Nos das un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
  • No envíes un gran volumen de reportes de baja calidad.

Para ayudarnos a entender los reportes, recomendamos que tu envío:

  • Describa el lugar donde se descubrió la vulnerabilidad y el impacto potencial de su explotación.
  • Incluya una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad; las capturas de pantalla o grabaciones de video son útiles.
  • Redactes el envío en inglés.

Una vez que hayas comprobado que existe una vulnerabilidad o encuentres cualquier dato sensible (incluyendo información personal identificable, información financiera o información propietaria o secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.

.

Prácticas prohibidas

No están autorizados los siguientes métodos de prueba:

  • Pruebas de denegación de servicio (DoS o DDoS) u otras pruebas que limiten el acceso a los sistemas
  • Pruebas de vulnerabilidades no técnicas

Esta política se aplica a los siguientes sistemas y servicios:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Cualquier servicio que no esté expresamente listado arriba, como los servicios conectados, queda fuera del alcance y no está autorizado para pruebas.
Además, las vulnerabilidades encontradas en sistemas de nuestros proveedores quedan fuera del alcance de esta política y deben ser informadas directamente al proveedor según su política de divulgación (si existe).
Si no estás seguro de si un sistema está dentro del alcance o no, contáctanos en security@socialinsider.io antes de comenzar tu investigación.

Si consideras que hay algún sistema fuera de alcance que merece ser probado, por favor contáctanos para discutirlo primero. El alcance de esta política puede ampliarse con el tiempo.

Reportar una vulnerabilidad

La información enviada bajo esta política se utilizará únicamente con fines defensivos, para mitigar o remediar vulnerabilidades.

Si tus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a Socialinsider, podemos compartir tu informe con terceros, donde será gestionado según su proceso coordinado de divulgación de vulnerabilidades.

No compartiremos tu información de contacto sin permiso expreso.
Aceptamos informes de vulnerabilidades a través de security@socialinsider.io. Los informes pueden enviarse de forma anónima.

Cuando eliges compartir tu información de contacto con nosotros, nos comprometemos a coordinarnos contigo de la manera más abierta y rápida posible.

  • En un plazo de 7 días hábiles, te confirmaremos la recepción de tu informe.
  • Te confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que seguimos durante el proceso de remediación.
  • Mantendremos una conversación sobre los problemas.