idioma
Política de divulgación de vulnerabilidades
Autorización
Si se esfuerza de buena fe por cumplir con esta política durante su investigación de seguridad, la consideraremos autorizada, colaboraremos con usted para comprender y resolver el problema rápidamente y no recomendaremos ni emprenderemos acciones legales relacionadas con su investigación. Sin embargo, no ofrecemos recompensas monetarias por la divulgación de vulnerabilidades.
Directrices
En virtud de esta política, «investigación» se refiere a aquellas actividades en las que usted:
- Notifíquenos lo antes posible después de descubrir un problema de seguridad real o potencial
- Haga todo lo posible por evitar violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos.
- Utilice los exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer o filtrar datos, establecer acceso a la línea de comandos y/o persistencia, ni utilice el exploit para «pivotar» a otros sistemas.
- Proporciónenos un plazo razonable para resolver el problema antes de hacerlo público.
- No comprometa intencionadamente la privacidad o la seguridad del personal, los clientes o terceros de Food Experts.
- No comprometa intencionadamente la propiedad intelectual u otros intereses comerciales o financieros del personal o las entidades de Food Experts, los clientes o terceros.
Una vez que haya determinado que existe una vulnerabilidad o haya encontrado datos confidenciales (incluida información de identificación personal (PII), información financiera, información privada o secretos comerciales de cualquier parte), debe detener la prueba, notificárnoslo inmediatamente y no revelar estos datos a nadie más.
Alcance
Todos los sistemas y servicios asociados con los dominios enumerados están incluidos en el ámbito de aplicación, incluidos los subdominios y cualquier sitio web con un enlace a esta política.
Las vulnerabilidades encontradas en sistemas que no pertenecen a Food Experts quedan fuera del ámbito de aplicación y deben comunicarse directamente al proveedor de acuerdo con su propia política del Programa de divulgación de vulnerabilidades (VDP) (si la hubiera).
Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles a través de Internet, solicitamos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el ámbito de aplicación de este documento. Si existe algún sistema fuera del ámbito de aplicación que considere que merece ser probado, póngase en contacto con nosotros para discutirlo primero.
| Product | Domain |
|---|---|
| Food Experts | food-experts.com |
| Food Securitas | Foodsecuritas.com |
Normas de actuación
Los investigadores de seguridad no deben:
- Probar cualquier sistema que no sea uno de los sistemas incluidos en la sección «Ámbito» (más arriba)
- Divulgar información sobre vulnerabilidades, salvo en los casos definidos en las secciones «Notificación de vulnerabilidades» y «Divulgación» (más abajo).
- Realizar pruebas físicas de instalaciones o recursos.
- Participar en ingeniería social.
- Enviar correo electrónico no solicitado al personal o a los clientes de Food Experts, incluidos mensajes de «phishing».
- Ejecutar o intentar ejecutar ataques de «denegación de servicio» o «agotamiento de recursos».
- Introducir software malicioso.
- Realizar pruebas que puedan degradar el funcionamiento de los sistemas de Food Experts o dañar, interrumpir o desactivar intencionadamente los sistemas de Food Experts.
- Realizar pruebas en aplicaciones, sitios web o servicios de terceros que se integren o enlacen con los sistemas de Food Experts.
- Eliminar, alterar, compartir, retener o destruir datos de Food Experts, o hacer que los datos de Food Experts sean inaccesibles.
- Utilizar un exploit para extraer datos, establecer acceso a la línea de comandos, establecer una presencia persistente en los sistemas de Food Experts o «pivotar» a otros sistemas de Food Experts.
Los investigadores de seguridad deben:
- Deje de realizar pruebas y notifíquenos inmediatamente si descubre alguna vulnerabilidad.
- Deje de realizar pruebas y notifíquenos inmediatamente si descubre alguna exposición de datos no públicos.
- Elimine cualquier dato no público almacenado de Food Experts tras informar de una vulnerabilidad.
Los investigadores de seguridad pueden:
- Ver o almacenar datos no públicos de Food Experts solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad..
Notificación de una vulnerabilidad
Aceptamos informes de vulnerabilidad a customer.support@food-experts.com
La información enviada en virtud de esta política se utilizará únicamente con fines defensivos, es decir, para mitigar o remediar vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a Food Experts, es posible que compartamos su informe con el Cybersecurity and Infrastructure Security Agency (CISA),donde se gestionará según su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre ni su información de contacto sin su permiso expreso.
Al enviar una vulnerabilidad, usted indica que ha leído, comprendido y aceptado las directrices descritas en esta política para la realización de investigaciones de seguridad y la divulgación de vulnerabilidades o indicadores de vulnerabilidades relacionadas con los sistemas de información de Food Experts, y da su consentimiento para que el contenido de la comunicación y las comunicaciones de seguimiento se almacenen en un sistema de Food Experts.
Para ayudarnos a clasificar y priorizar las comunicaciones, le recomendamos que sus informes:
- Cumplir con todos los términos y condiciones legales.
- Describir la vulnerabilidad, dónde se descubrió y el impacto potencial de su explotación.
- Ofrecer una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla son útiles).
Divulgación
Food Experts se compromete a corregir las vulnerabilidades de forma oportuna. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad sin una acción correctiva inmediata aumenta el riesgo. Por lo tanto, le solicitamos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 90 días calendario a partir de la recepción de nuestro acuse de recibo de su informe. Si considera que se debe informar a otros sobre la vulnerabilidad antes de que implementemos medidas correctivas, le solicitamos que se coordine con nosotros previamente.
Podemos compartir informes de vulnerabilidad con el Cybersecurity and Infrastructure Security Agency (CISA), así como de los proveedores afectados. No compartiremos los nombres ni los datos de contacto de los investigadores de seguridad a menos que se nos otorgue permiso explícito.
Verificación y remediación
El General Manager de Food Experts (o su delegado) será responsable de mantener un registro de auditoría de los informes públicos, las verificaciones y las remediaciones. La verificación y la remediación se asignarán a los miembros del equipo correspondientes según el origen de la vulnerabilidad.
Procedimientos de verificación y remediación
- Al recibir un correo electrónico, el Gerente General de Food Experts (o su delegado) es responsable de convocar una reunión de equipo y decidir quién debe responder y el nivel de respuesta.
- El nivel de respuesta incluirá verificar la amenaza y comunicarse con la fuente.
- El General Manager de Food Experts (o su delegado) También será responsable de determinar la gravedad de la amenaza, por ejemplo, la vulnerabilidad puede constituir un incidente de seguridad y requerir la participación de otro personal dentro de la organización Volaris más amplia.
Revision y Repasar
Como mínimo, esta política se revisará anualmente o con mayor frecuencia si se considera oportuno. La revisión de la política estará a cargo de Food Experts.
