Política de divulgación responsable de Credendo
En Credendo, nuestra máxima prioridad es la seguridad de nuestros sistemas. Sin embargo, pese a todos nuestros esfuerzos, pueden presentarse vulnerabilidades.
Si encuentra alguna vulnerabilidad, nos gustaría tener conocimiento de ella para tomar las medidas necesarias que la solucionen lo antes posible. Queremos pedirle que nos ayude a proteger nuestros clientes y sistemas, y que no divulgue públicamente ninguna información sobre dicha vulnerabilidad antes de que actuemos para mitigarla.
Esta Política de divulgación responsable se aplica a todos los sistemas de Credendo. En caso de duda, póngase en contacto con nosotros escribiendo a la dirección vulnerability@credendo.com.
Con el fin de evitar cualquier confusión, cualquier uso indebido o divulgación de información técnica o confidencial en relación con nuestros sistemas, incluida la explotación de vulnerabilidades, son ilegales y están terminantemente prohibidos y, como consecuencia, Credendo podrá tomar medidas legales. Su cooperación no solo evitará que se tomen dichas acciones, sino que será tremendamente apreciada.
Si encuentra una vulnerabilidad, siga estas instrucciones:
- Envíe un correo electrónico con toda la información que haya descubierto a vulnerability@credendo.com. Encripte la información que haya descubierto con el botón PGP para evitar que accedan a esta información crítica personas indebidas.
- No aproveche la vulnerabilidad o el incidente que haya descubierto, por ejemplo, no descargue más datos de los necesarios para exponer la vulnerabilidad, ni borre o modifique los datos de otras personas.
- No comunique el incidente a otras personas hasta que se haya resuelto.
- No realice ataques de seguridad física, ingeniería social, negación de servicio, spam o aplicaciones de terceros.
- Facilite suficiente información para que podamos reproducir el incidente y resolverlo lo antes posible. Por lo general, la dirección IP o la URL del sistema afectado, así como una descripción de la vulnerabilidad, serán suficiente. No obstante, las vulnerabilidades complejas pueden necesitar una explicación más amplia.
Qué garantizamos:
- Responderemos a su denuncia en un plazo de 15 días laborables con una evaluación de la denuncia y una fecha estimada de la resolución.
- Si ha seguido las instrucciones anteriores y no ha realizado ninguna conducta ilegal, perjudicial o inmoral, no tomaremos medidas legales contra usted en relación con la denuncia.
- Trataremos su denuncia con absoluta confidencialidad y no compartiremos sus datos personales con terceros sin su permiso.
- Le informaremos de cómo evoluciona su denuncia hasta su resolución.
- Cuando publiquemos información sobre el incidente denunciado, daremos su nombre para identificarle como la persona que ha descubierto dicho incidente (salvo que no lo desee).
- Como agradecimiento por su colaboración, ofrecemos una recompensa por cada incidente de seguridad que denuncie del que no tengamos conocimiento. No obstante, esta Política de Credendo no establece recompensas monetarias de ningún tipo. Credendo determinará cuál será la recompensa en función de la gravedad de la filtración de información y la calidad de la denuncia.
Es nuestra intención resolver todos los incidentes a la mayor brevedad posible, y nos gustaría desempeñar un papel activo en la publicación final del incidente después de que se resuelva.