Acuerdo de vulnerabilidades

Última actualización: 31 octubre 2024.

Introducción

Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad que estés considerando comunicar a Backorder Ltd («nosotros», «nos» o «nuestro»).

Te recomendamos que leas esta política de divulgación de vulnerabilidades en su totalidad antes de informar de una vulnerabilidad y que actúes siempre de acuerdo a ella.

Valoramos a quienes se toman el tiempo y el esfuerzo de informar sobre vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas por la divulgación de vulnerabilidades.

Alcance

https://backorder.com

Informar

Si crees que has encontrado una vulnerabilidad de seguridad relacionada con nuestro sitio web, envía un informe de vulnerabilidad en inglés, a la dirección definida en el archivo security.txt publicado.

Tu informe debe incluir;

  • La URL del sitio web o la página en la que se observa la vulnerabilidad
  • Una breve descripción del tipo de vulnerabilidad
  • Pasos para reproducirla. Deben ser una prueba benigna y no destructiva. Esto ayuda a garantizar que el informe pueda ser tratado con rapidez y precisión.

Qué pasa después

Una vez que hayas enviado tu informe, te responderemos en un plazo de 5 días laborables y trataremos de clasificar tu informe en un plazo de 10 días laborables. También intentaremos mantenerte informado de nuestros progresos.

La prioridad de la reparación se evalúa teniendo en cuenta el impacto, la gravedad y la complejidad. Los informes de vulnerabilidad pueden tardar algún tiempo en clasificarse o solucionarse. Puedes informarte sobre el estado, pero evita hacerlo más de una vez cada 14 días. Esto nos permite centrarnos en la reparación.

Te avisaremos cuando la vulnerabilidad esté solucionada y, es posible, que te invitemos a confirmar que la solución solventa adecuadamente la vulnerabilidad.

Una vez resuelta tu vulnerabilidad, divulgaremos el informe de resolución. Nos gustaría unificar nuestras respuestas, así que puedes colaborar con nosotros en su divulgación pública.

Guía

NO debes:

  • Infringir ninguna ley o normativa aplicable.
  • Acceder a cantidades innecesarias, excesivas o significativas de datos.
  • Modificar datos en nuestros sistemas o servicios.
  • Utilizar herramientas de exploración invasivas o destructivas de alta intensidad para encontrar vulnerabilidades.
  • Intentar o notificar cualquier forma de denegación de servicio, por ejemplo, saturar un servicio con un gran volumen de solicitudes.
  • Interrumpir nuestros servicios o sistemas.
  • Presentar informes que detallen vulnerabilidades no explotables, o informes que indiquen que los servicios no se ajustan plenamente a las «buenas prácticas», por ejemplo, que faltan cabeceras de seguridad.
  • Envía informes detallando debilidades en la configuración TLS, por ejemplo, un soporte «débil» del conjunto de cifrado o la presencia de soporte TLS1.0.
  • Comunicar cualquier vulnerabilidad o detalles asociados por medios distintos a los descritos en el security.txt publicado.
  • Realizar ingeniería social, «phishing» o atacar físicamente a nuestro personal o infraestructura.
  • Exigir una compensación económica para revelar cualquier vulnerabilidad.

Debes:

  • Cumplir siempre las normas de protección de datos y no violar la privacidad de los datos que poseemos. No debes, por ejemplo, compartir, redistribuir o no proteger adecuadamente los datos recuperados de los sistemas o servicios.
  • Eliminar de forma segura todos los datos recuperados durante tu investigación tan pronto como ya no sean necesarios o en el plazo de 1 mes desde que se resuelva la vulnerabilidad, lo que ocurra primero (o según lo exija la ley de protección de datos)..

Legalidades

Esta política está diseñada para ser compatible con las buenas prácticas habituales en materia de divulgación de vulnerabilidades. No te da permiso para actuar de ninguna manera que sea incompatible con la ley, o que pueda hacernos incumplir cualquier obligación legal.