Política de divulgación responsable de MyPass

1. Objetivo
En MyPassGlobal nos tomamos muy en serio la seguridad de nuestros productos, servicios y sistemas. Los productos de software que creamos y de los que somos propietarios, así como los productos, servicios y bibliotecas que incorporamos a nuestros propios productos, son susceptibles de sufrir vulnerabilidades.
Creemos en la importancia de colaborar con la comunidad de seguridad para identificar y resolver de forma responsable las posibles vulnerabilidades de seguridad.
Esta Política de divulgación responsable describe las directrices y los procedimientos para que los investigadores de seguridad, los hackers éticos y las personas interesadas ("Investigadores") nos comuniquen de forma responsable cualquier vulnerabilidad de seguridad descubierta.
 
2. Alcance
Esta Política de Divulgación Responsable se aplica a todos nuestros servicios en línea, sitios web, aplicaciones y sistemas. Al enviar una denuncia en virtud de esta política, usted acepta cumplir las condiciones y directrices aquí mencionadas.
 
3. Directrices para una divulgación responsable
Animamos a los investigadores a que actúen de forma responsable y de buena fe a la hora de identificar y notificar vulnerabilidades de seguridad. Para cumplir esta política, siga las siguientes directrices:
 
3.1 Vulnerabilidades admisibles
Envíe únicamente informes sobre vulnerabilidades de seguridad que no sean de dominio público y que puedan poner en peligro la seguridad o integridad de nuestros sistemas o los datos de los usuarios. Entre los ejemplos de vulnerabilidades elegibles se incluyen:
 
Secuencias de comandos cruzadas (XSS) ensitio de trabajo
Falsificación de petición cruzadasitio de trabajo (CSRF/XSRF)
Ejecución de código en el servidor
Escalada de privilegios
Inyección SQL
Ejecución remota de código
Divulgación de la información
 
3.2 Actividades prohibidas
Por favor, absténgase de participar en cualquier actividad perjudicial o perturbadora, como:
Intentar acceder, modificar o borrar datos no relacionados con su investigación.
Realizar pruebas en sistemas o redes que no sean de su propiedad o para los que no tenga permiso explícito.
Distribuir o compartir cualquier información confidencial obtenida durante su investigación.
Realizar cualquier forma de ataque de denegación de servicio (DoS) o actividades similares.
Ingeniería social, incluido el phishing u otras técnicas engañosas.
 
4. Procedimiento de divulgación responsable
Si cree que ha descubierto una posible vulnerabilidad de seguridad, siga estos pasos para comunicárnosla de forma responsable:
Presentación de informes: Envíe sus conclusiones a vulnerability-report@mypassglobal.com. Cifre su correo electrónico utilizando nuestra clave PGP (https://www.mypassglobal.com/.well-known/pgp-key.txt) para garantizar la confidencialidad de su informe.
Proporcione información suficiente: Incluye tanta información como sea posible para ayudarnos a entender y reproducir la vulnerabilidad. Esto puede incluir la descripción de la vulnerabilidad, las URL afectadas, los pasos para reproducirla, capturas de pantalla y cualquier material de apoyo.
No explotar: No intentes explotar la vulnerabilidad más allá de lo necesario para demostrar su existencia.
Tiempo de respuesta: haremos todo lo posible por acusar recibo de su informe en un plazo de 5 días y le mantendremos informado del progreso.
Coordinación: Nos comprometemos a colaborar con usted para comprender, verificar y resolver la vulnerabilidad notificada.
Divulgación pública: Coordinaremos con usted el momento y el contenido de cualquier divulgación pública relativa a la vulnerabilidad.
 
5. 5. Agradecimiento y reconocimiento
reconocemos las valiosas contribuciones de los investigadores de seguridad y reconoceremos su divulgación responsable. No ofrecemos compensación por los informes de vulnerabilidades potenciales o verificadas.
Dependiendo de la gravedad y el impacto de la vulnerabilidad, también podemos ofrecer reconocimiento a través de nuestro sitio web, blog u otras plataformas.
 
6. 6. Consideraciones jurídicas
MyPass Global no iniciará acciones legales contra los Investigadores que actúen de forma responsable, sigan esta Política de Divulgación Responsable y se esfuercen de buena fe por cumplir sus directrices.
 
7. Cambios políticos
Nos reservamos el derecho a actualizar o modificar esta Política de Divulgación Responsable en cualquier momento. Cualquier cambio será publicado en esta página, y la fecha revisada en la parte superior reflejará la actualización más reciente.
 
8. 8. Información de contacto 
Si tiene alguna pregunta o duda sobre esta política o necesita informar de una vulnerabilidad de seguridad, póngase en contacto con nosotros en:
 
Gracias por ayudarnos a mantener la seguridad e integridad de nuestros sistemas y a proteger los datos de nuestros usuarios. Su cooperación y adhesión a esta Política de divulgación responsable son muy apreciadas.
 
Equipo de seguridad global de MyPass