ISGroup Consultoría de Ciberseguridad

Pautas de divulgación de vulnerabilidades

Toda tecnología contiene errores. Si has encontrado una vulnerabilidad de seguridad que afecta a los sistemas, productos o servicios de ISGroup SRL, queremos saberlo para poder solucionarlo.

Al enviar una vulnerabilidad al Programa de Divulgación de Vulnerabilidades de ISGroup SRL, reconoces que has leído y aceptado estas directrices.

Importante: ISGroup SRL no ofrece recompensas monetarias por la divulgación de vulnerabilidades. Las contribuciones válidas serán reconocidas en nuestro Salón de la Fama de Seguridad.

Filosofía de Divulgación de Vulnerabilidades

Los investigadores deben…

  • Respetar las reglas. Operar dentro de las normas establecidas por el Equipo de Seguridad de ISGroup SRL, o manifestarse si existe un desacuerdo importante con las mismas.
  • Respetar la privacidad. Realizar un esfuerzo de buena fe para no acceder ni destruir los datos de otros usuarios.
  • Ser pacientes. Realizar un esfuerzo de buena fe para aclarar y respaldar sus informes cuando se les solicite.
  • No causar daño. Actuar por el bien común mediante la notificación rápida de todas las vulnerabilidades encontradas. Nunca explotar intencionadamente a otros sin su permiso.

El Equipo de Seguridad de ISGroup…

  • Priorizar la seguridad. Realizar un esfuerzo de buena fe para resolver los problemas de seguridad reportados de forma rápida y transparente.
  • Respetar a los investigadores. Dar reconocimiento público a los investigadores por sus contribuciones a través del Salón de la Fama de Seguridad de ISGroup.
  • Recompensar la investigación adecuadamente. Aunque ISGroup no ofrece recompensas económicas, otorgaremos un crédito público destacado por los hallazgos válidos.
  • No causar daño. No tomar medidas punitivas irrazonables contra los investigadores, como amenazas legales o denuncias ante las autoridades, cuando se sigan las directrices.

Puerto Seguro (Safe Harbor)

Estamos comprometidos a proteger los intereses de los investigadores. La divulgación de vulnerabilidades es intrínsecamente compleja, pero cuanto más se ajuste el comportamiento de un investigador a estas directrices, más podremos protegerle si una situación de divulgación difícil se intensifica.

Proceso de Envío

  1. Revisa la política del programa antes de realizar el envío, ya que prevalece sobre estas directrices en caso de conflicto.
  2. Si crees que has encontrado una vulnerabilidad, envía un informe detallado a: [email protected]
    El informe debe incluir:
    • Una descripción clara del problema.
    • Pasos concisos y reproducibles o una prueba de concepto funcional.
    • Impacto esperado.
  3. Los informes que carezcan de detalles pueden causar retrasos significativos en la remediación.

El informe se actualizará con los hitos principales, incluyendo:

  • Validación de la vulnerabilidad.
  • Solicitudes de información adicional.
  • Notificación de inclusión en el Salón de la Fama, si corresponde.

Proceso de Divulgación de Vulnerabilidades

  • Por defecto: Si ninguna de las partes presenta objeciones, el contenido del informe se hará público dentro de los 30 días posteriores a la remediación.
  • Acuerdo mutuo: El investigador e ISGroup pueden acordar un cronograma de divulgación personalizado.
  • Divulgación protectora: Si existen pruebas de explotación activa o daño inminente, ISGroup puede publicar los detalles de la remediación inmediatamente.
  • Extensión: Algunas vulnerabilidades pueden requerir más de 30 días para ser remediadas; ISGroup se mantendrá en comunicación con el investigador.
  • Último recurso: Si han pasado 180 días sin que ISGroup proporcione un cronograma de divulgación, el investigador podrá divulgar la información públicamente.

Programas Privados

Algunos investigadores pueden ser invitados a programas privados. La participación es opcional y está sujeta a un estricto acuerdo de confidencialidad. Los investigadores que deseen divulgar información públicamente no deben unirse a programas privados.

Alternativas:

  • Enviar directamente a ISGroup fuera del programa.
  • Utilizar un tercero de confianza para obtener asistencia en la divulgación.

Reconocimiento Público

Puedes recibir reconocimiento público en el Salón de la Fama de Seguridad de ISGroup si:

  1. Eres el primero en reportar una vulnerabilidad específica.
  2. La vulnerabilidad se confirma como válida.
  3. Cumples con estas directrices.

Los investigadores que prefieran el anonimato pueden solicitar ser reconocidos bajo un seudónimo.

Política de Recompensas por Errores (Bug Bounty)

ISGroup SRL no ofrece recompensas monetarias por informes de vulnerabilidades. El reconocimiento se realizará únicamente a través del Salón de la Fama.
Damos la bienvenida a la participación de menores; sin embargo, las recompensas no son aplicables. Los menores recibirán reconocimiento público con el consentimiento de sus padres o tutores.

Definiciones

  • Equipo de Seguridad: Personas responsables de abordar los problemas de seguridad en los sistemas de ISGroup.
  • Investigador: Cualquier persona que investigue y reporte un posible problema de seguridad.
  • Informe: Descripción escrita del investigador sobre una posible vulnerabilidad.
  • Vulnerabilidad: Un error o fallo de diseño que permite una acción contraria a la política de seguridad establecida.
  • Programa: Política publicada por ISGroup que guía la investigación de seguridad.

In