Introducción

Gotedo está firmemente comprometido con proteger la información de nuestros usuarios y mantener la seguridad de nuestros sistemas. Esta Política de Divulgación de Vulnerabilidades establece directrices claras para los investigadores de seguridad que deseen identificar y divulgar posibles vulnerabilidades. La política explica:

  • Qué sistemas y tipos de investigación están cubiertos por esta política,
  • Cómo compartir informes de vulnerabilidades con nosotros, y
  • Cuánto tiempo se pide a los investigadores que esperen antes de divulgar vulnerabilidades públicamente.

Alentamos a los investigadores de seguridad a reportar vulnerabilidades de buena fe. Al trabajar juntos, podemos resolver problemas rápidamente, manteniendo la seguridad y la confianza de todos los usuarios de Gotedo. Esta política refleja el compromiso de Gotedo con la investigación de seguridad responsable y nuestro agradecimiento por las valiosas contribuciones que los investigadores hacen a nuestra postura de seguridad.

Autorización

Si realizas un esfuerzo de buena fe para seguir esta política durante tus pruebas de seguridad, consideraremos tu investigación como autorizada. Trabajaremos contigo de manera colaborativa para investigar y abordar el problema lo más rápido posible, y Gotedo no perseguirá ni recomendará acciones legales relacionadas con tus actividades de investigación bajo esta política.

Directrices

Bajo esta política, “investigación” se refiere a actividades en las que tú:

  • Nos notifiques lo antes posible al descubrir un problema de seguridad real o potencial.
  • Tengas precaución para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupción de sistemas de producción, o destrucción o manipulación de datos.
  • Uses exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No uses un exploit para comprometer o extraer datos, establecer acceso a la línea de comandos o persistencia, o para pivotar a otros sistemas.
  • Nos permitas un período razonable para resolver el problema antes de divulgarlo públicamente.
  • Te abstengas de comprometer intencionalmente la privacidad, seguridad, propiedad intelectual o intereses comerciales/financieros de los empleados, usuarios o terceros de Gotedo.

Si descubres que una vulnerabilidad expone datos sensibles, como información personal identificable, detalles financieros o información propietario, debes cesar las pruebas inmediatamente, notificarnos de inmediato y abstenerte de divulgar cualquier dato expuesto a nadie más.

Alcance

Todos los sistemas y servicios bajo el dominio gotedo.com y sus subdominios (**.gotedo.com) están dentro del alcance, salvo que se especifique lo contrario. Además, cualquier sitio web que haga referencia a esta política también está dentro del alcance. Si no estás seguro de si un sistema o endpoint está dentro del alcance, por favor contacta a [email protected] o consulta el contacto de seguridad de WHOIS del dominio antes de comenzar tu investigación.

Aunque mantenemos servicios adicionales fuera del alcance de esta política, te pedimos que limites las pruebas activas a los sistemas mencionados aquí. Si crees que un sistema fuera de este alcance merece ser probado, por favor contáctanos primero para discutirlo. Pretendemos expandir el alcance de esta política con el tiempo.

Reglas de Compromiso

Los investigadores de seguridad NO DEBEN:

  • Probar cualquier sistema no listado en la sección Alcance.
  • Divulgar detalles de vulnerabilidades fuera de lo permitido en las secciones Reporte de una Vulnerabilidad y Divulgación.
  • Realizar pruebas de seguridad física de las instalaciones de Gotedo.
  • Realizar ingeniería social a empleados, contratistas o clientes de Gotedo.
  • Enviar correos electrónicos no solicitados o mensajes de phishing a usuarios de Gotedo.
  • Realizar ataques de Denegación de Servicio o Agotamiento de Recursos.
  • Cargar o distribuir software malicioso.
  • Realizar pruebas que degraden, interrumpan o desactiven significativamente los servicios de Gotedo.
  • Intentar probar o comprometer aplicaciones, sitios web o servicios de terceros que se integren con Gotedo.
  • Eliminar, alterar, compartir, retener o destruir datos de Gotedo, o hacer que los datos de Gotedo sean inaccesibles.
  • Usar un exploit para extraer datos, establecer acceso a la línea de comandos, mantener persistencia o pivotar a otros sistemas de Gotedo.

Los investigadores de seguridad PUEDEN:

  • Ver o almacenar temporalmente datos no públicos de Gotedo solo si es necesario para demostrar la presencia de una vulnerabilidad potencial.

Los investigadores de seguridad DEBEN:

  • Detener las pruebas y notificarnos inmediatamente si se descubre una vulnerabilidad.
  • Detener las pruebas y notificarnos inmediatamente si se han expuesto datos no públicos.
  • Eliminar todos los datos no públicos de Gotedo almacenados al reportar una vulnerabilidad.

Reporte de una Vulnerabilidad

Por favor, envía los informes de vulnerabilidades a [email protected]. En este momento, aceptamos informes en inglés y no soportamos cifrado PGP. Puedes enviar informes de forma anónima si lo prefieres.

Usaremos cualquier información que proporciones únicamente con fines defensivos, es decir, para investigar y remediar vulnerabilidades. Si tus hallazgos revelan fallos recién descubiertos que afectan no solo a Gotedo sino también a otros servicios o productos en general, podemos compartir tu informe con la Base de Datos Nacional de Vulnerabilidades (NVD). No incluiremos tu nombre ni detalles de contacto sin tu consentimiento expreso.

Al enviar un informe de vulnerabilidad, reconoces haber leído, entendido y aceptado los principios de esta política, y consientes que Gotedo almacene tu comunicación y cualquier correspondencia de seguimiento en un sistema de Gotedo.

Para ayudarnos a clasificar y responder eficientemente, por favor incluye:

  • Una referencia a los términos y condiciones legales en Términos de Servicio de Gotedo.
  • Una descripción clara de la vulnerabilidad, dónde se encontró y su impacto potencial en la seguridad.
  • Pasos detallados o una prueba de concepto que ilustre cómo reproducir el problema (se fomentan scripts o capturas de pantalla relevantes).

Divulgación

Gotedo tiene como objetivo abordar las vulnerabilidades reportadas rápidamente. También entendemos que divulgar una vulnerabilidad prematuramente, sin una solución probada, puede aumentar el riesgo. Por lo tanto, requerimos que los investigadores esperen 90 días calendario después de recibir nuestro reconocimiento inicial antes de compartir públicamente los detalles de cualquier vulnerabilidad descubierta. Si sientes que la comunidad en general debe ser alertada antes de que hayamos implementado una solución correctiva, por favor coordina con nosotros de antemano.

Podemos compartir información sobre vulnerabilidades con la Base de Datos Nacional de Vulnerabilidades u otros proveedores afectados, pero nunca compartiremos tus detalles personales sin tu aprobación explícita.

Preguntas

Si tienes alguna pregunta o sugerencia sobre esta política, por favor contáctanos en [email protected]. Agradecemos y valoramos tus comentarios.

Otras políticas