Política de Divulgación de Vulnerabilidades | OneSuite

Informe de vulnerabilidades en los sistemas de OneSuite

Introduccion

En OneSuite, la seguridad de la informacion es una prioridad maxima, y estamos comprometidos a proteger la confidencialidad, integridad y disponibilidad de nuestros sistemas y datos. Esta politica proporciona a los investigadores de seguridad directrices claras para llevar a cabo investigaciones de vulnerabilidades y describe como las vulnerabilidades pueden ser reportadas de manera responsable.

Este documento especifica que sistemas y tipos de investigacion estan cubiertos por esta politica, como enviar informes de vulnerabilidades y los plazos que sugerimos para la divulgacion publica.

Animamos a los investigadores de seguridad a reportar vulnerabilidades segun lo descrito en esta politica. Sus esfuerzos nos ayudan a abordar problemas potenciales y a mantener la seguridad del ecosistema de OneSuite.

Autorizacion

Si realiza un esfuerzo de buena fe para cumplir con esta politica, OneSuite considera su investigacion como autorizada. Trabajaremos con usted para comprender y resolver el problema rapidamente, y no recomendaremos ni emprenderemos acciones legales relacionadas con su investigacion.

En caso de que un tercero inicie acciones legales contra usted por actividades realizadas de acuerdo con esta politica, OneSuite dara a conocer esta autorizacion.

Directrices

Bajo esta politica, "investigacion" se refiere a actividades en las que usted:

  • Nos notifica lo antes posible despues de descubrir un problema de seguridad real o potencial.
  • Realiza el analisis unicamente dentro del alcance definido.
  • Evita violaciones de privacidad, degradacion de la experiencia del usuario, interrupcion de sistemas de produccion y destruccion o manipulacion de datos.
  • Utiliza exploits solo en la medida necesaria para confirmar la existencia de una vulnerabilidad. No utilice exploits para comprometer o exfiltrar datos, obtener acceso a la linea de comandos o pivotar hacia otros sistemas.
  • Nos concede un plazo razonable para corregir el problema antes de divulgarlo publicamente.
  • Evita enviar un gran volumen de informes de baja calidad.

Una vez que haya determinado que existe una vulnerabilidad, o encuentre datos sensibles (incluidos datos personales, datos financieros o informacion propietaria o secretos comerciales de cualquier parte), debe detener su prueba, notificarnos inmediatamente y no divulgar estos datos a nadie mas.

Alcance

Esta politica se aplica a los siguientes sistemas y servicios:

  • *.onesuite.io

Problemas fuera del alcance

Los siguientes problemas se consideran fuera del alcance de esta politica:

  • Pruebas de activos de clientes de OneSuite.
  • Alucinaciones de modelos.
  • Problemas de moderacion de contenido o contratacion.
  • Practicas de seguridad mitigadas por otros controles (por ejemplo, encabezados de seguridad faltantes).
  • Ingenieria social, phishing y ataques fisicos.
  • Problemas como indicadores de cookies faltantes, CSRF de bajo impacto (por ejemplo, CSRF de inicio/cierre de sesion), suplantacion de contenido o trazas de pila.
  • Vulnerabilidades sin impacto de seguridad demostrable.
  • Ataques DOS/DDOS.
  • Inyeccion de encabezado de host sin impacto.
  • Resultados de escaner, mensajes de error del servidor (a menos que revelen informacion critica).
  • Informes sobre navegadores desactualizados o errores no criticos.

Todos los servicios no listados explicitamente en la seccion "Alcance" anterior, como los servicios conectados, estan excluidos del alcance y no estan autorizados para pruebas. Ademas, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del alcance de esta politica y deben reportarse directamente al proveedor de acuerdo con su politica de divulgacion (si esta disponible). Si no esta seguro de si un sistema esta dentro del alcance, contactenos en [email protected] antes de comenzar su investigacion.

Reconocimiento

Aunque OneSuite no ofrece actualmente recompensas financieras, valoramos sus contribuciones. Como muestra de nuestro agradecimiento, reconoceremos su ayuda en nuestra pagina de Reconocimientos de Divulgacion de Seguridad, a menos que prefiera permanecer en el anonimato. Estamos trabajando en la implementacion de un programa de recompensas por errores para permitir recompensas financieras en el futuro.

Reportar una vulnerabilidad

La informacion enviada bajo esta politica se utilizara exclusivamente con fines defensivos. Si sus hallazgos revelan vulnerabilidades que afectan a la comunidad de usuarios en general, podemos compartir su informe con la Agencia de Seguridad Cibernetica e Infraestructura (CISA). No divulgaremos su nombre o informacion de contacto sin su permiso.

Que nos gustaria ver

Para ayudarnos a clasificar y priorizar las presentaciones de manera efectiva, proporcione lo siguiente:

  • La ubicacion y el impacto potencial de la vulnerabilidad.
  • Una descripcion detallada de los pasos necesarios para reproducir la vulnerabilidad (por ejemplo, scripts de prueba de concepto, capturas de pantalla).
  • Informes en ingles.

Que puede esperar de nosotros

Si comparte sus datos de contacto, nos comprometemos a lo siguiente:

  • Confirmacion de recepcion de su informe dentro de 14 dias habiles.
  • Confirmacion de la existencia de la vulnerabilidad e informacion sobre nuestro proceso de remediacion, incluidos posibles retrasos.

Tenga en cuenta que OneSuite no ofrece compensacion por las vulnerabilidades reportadas. Al enviar un informe, renuncia a cualquier reclamacion de compensacion.

Preguntas

Para preguntas o sugerencias sobre esta politica, contactenos en [email protected].

Ultima actualizacion: November 12, 2024