MyPass®
Política de divulgación responsable de

Propósito

En MyPassGlobal nos tomamos muy en serio la seguridad de nuestros productos, servicios y sistemas. Los productos de software que creamos y de los que somos propietarios, así como los productos, servicios y bibliotecas que incorporamos a nuestros propios productos, son susceptibles de sufrir vulnerabilidades.

Creemos en la importancia de colaborar con la comunidad de seguridad para identificar y resolver de forma responsable las posibles vulnerabilidades de seguridad.

Esta Política de divulgación responsable describe las directrices y los procedimientos para que los investigadores de seguridad, los hackers éticos y las personas interesadas ("Investigadores") nos comuniquen de forma responsable cualquier vulnerabilidad de seguridad descubierta.

Ámbito de aplicación

Esta Política de Divulgación Responsable se aplica a todos nuestros servicios en línea, sitios web, aplicaciones y sistemas. Al enviar una denuncia en virtud de esta política, usted acepta cumplir las condiciones y directrices aquí mencionadas.

Directrices para la divulgación responsable

Animamos a los investigadores a que actúen de forma responsable y de buena fe a la hora de identificar y notificar vulnerabilidades de seguridad. Para cumplir esta política, siga las siguientes directrices:

Vulnerabilidades elegibles

Envíe únicamente informes sobre vulnerabilidades de seguridad que no sean de dominio público y que puedan poner en peligro la seguridad o integridad de nuestros sistemas o los datos de los usuarios. Entre los ejemplos de vulnerabilidades elegibles se incluyen:

  • Secuencias de comandos cruzadas (XSS) ensitio de trabajo
  • Falsificación de petición cruzadasitio de trabajo (CSRF/XSRF)
  • Ejecución de código en el servidor
  • Escalada de privilegios
  • Inyección SQL
  • Ejecución remota de código
  • Divulgación de la información

Actividades prohibidas

Por favor, absténgase de participar en cualquier actividad perjudicial o perturbadora, como:

  • Intentar acceder, modificar o borrar datos no relacionados con su investigación.
  • Realizar pruebas en sistemas o redes que no sean de su propiedad o para los que no tenga permiso explícito.
  • Distribuir o compartir cualquier información confidencial obtenida durante su investigación.
  • Realizar cualquier forma de ataque de denegación de servicio (DoS) o actividades similares.
  • Ingeniería social, incluido el phishing u otras técnicas engañosas.

Procedimiento de divulgación responsable

Si cree que ha descubierto una posible vulnerabilidad de seguridad, siga estos pasos para comunicárnosla de forma responsable:

  • Presentación de informes: Envíe sus conclusiones a vulnerability-report@mypassglobal.com. Cifre su correo electrónico utilizando nuestra clave PGP (https://www.mypassglobal.com/.well-known/pgp-key.txt) para garantizar la confidencialidad de su informe.
  • Proporcione información suficiente: Incluye tanta información como sea posible para ayudarnos a entender y reproducir la vulnerabilidad. Esto puede incluir la descripción de la vulnerabilidad, las URL afectadas, los pasos para reproducirla, capturas de pantalla y cualquier material de apoyo.
  • No explotar: No intentes explotar la vulnerabilidad más allá de lo necesario para demostrar su existencia.
  • Tiempo de respuesta: haremos todo lo posible por acusar recibo de su informe en un plazo de 5 días y le mantendremos informado del progreso.
  • Coordinación: Nos comprometemos a colaborar con usted para comprender, verificar y resolver la vulnerabilidad notificada.
  • Divulgación pública: Coordinaremos con usted el momento y el contenido de cualquier divulgación pública relativa a la vulnerabilidad.

Agradecimiento y reconocimiento

Reconocemos las valiosas contribuciones de los investigadores de seguridad y agradeceremos su divulgación responsable. No ofrecemos compensación alguna por los informes de vulnerabilidades potenciales o verificadas. Dependiendo de la gravedad y el impacto de la vulnerabilidad, también podemos ofrecer reconocimiento a través de nuestro sitio web, blog u otras plataformas.

Consideraciones legales

MyPass Global no iniciará acciones legales contra los Investigadores que actúen de forma responsable, sigan esta Política de Divulgación Responsable y se esfuercen de buena fe por cumplir sus directrices.

Cambios en las políticas

Nos reservamos el derecho a actualizar o modificar esta Política de Divulgación Responsable en cualquier momento. Cualquier cambio será publicado en esta página, y la fecha revisada en la parte superior reflejará la actualización más reciente.

Información de contacto

Si tiene alguna pregunta o duda sobre esta política o necesita informar de una vulnerabilidad de seguridad, póngase en contacto con nosotros en: Correo electrónico: vulnerability-report@mypassglobal.com

Gracias por ayudarnos a mantener la seguridad e integridad de nuestros sistemas y a proteger los datos de nuestros usuarios. Su cooperación y adhesión a esta Política de divulgación responsable son muy apreciadas.

Equipo de seguridad global de MyPass