Bomdiu Logo

Política de Divulgación de Vulnerabilidades de Seguridad

1. Introducción

En Bomdiu, nos tomamos la seguridad muy en serio y valoramos las contribuciones de los investigadores de seguridad y de la comunidad de seguridad en general para ayudarnos a mantener la seguridad e integridad de nuestros sistemas. Esta Política de Divulgación de Vulnerabilidades describe las directrices para informarnos sobre vulnerabilidades de seguridad.

2. Ámbito

Esta política se aplica a cualquier vulnerabilidad de seguridad encontrada en los servicios de acceso público de Bomdiu, incluyendo nuestro sitio web, APIs y cualquier otro sistema propiedad de y operado por Bomdiu.

Fuera de Ámbito

Lo siguiente se considera fuera del ámbito de esta política:

  • Vulnerabilidades en servicios o aplicaciones de terceros que no están bajo el control directo de Bomdiu.
  • Ataques de ingeniería social, incluyendo el phishing a nuestros empleados o contratistas.
  • La seguridad física de nuestras oficinas o centros de datos.
  • Informes de escáneres automáticos sin una prueba de concepto que demuestre una vulnerabilidad específica.
  • Ataques de denegación de servicio volumétricos.

3. Directrices de Divulgación Responsable

Solicitamos que los investigadores de seguridad se adhieran a las siguientes directrices al informar sobre vulnerabilidades:

  • Actuar de buena fe y evitar violar cualquier ley o infringir cualquier dato.
  • No realizar ataques que puedan interrumpir nuestros servicios, incluyendo denegación de servicio (DoS), spam o ingeniería social.
  • No acceder, modificar o eliminar datos que no le pertenezcan.
  • Proporcionar un informe claro y detallado con los pasos para reproducir la vulnerabilidad, incluyendo cualquier prueba de concepto relevante.
  • Informar sobre las vulnerabilidades con prontitud y permitirnos un tiempo razonable para investigar y remediar antes de la divulgación pública.

4. Proceso de Información

Si ha descubierto una vulnerabilidad de seguridad, por favor infórmenos a través de [email protected] con los siguientes detalles:

  • Una descripción de la vulnerabilidad.
  • Pasos para reproducir el problema.
  • Impacto potencial de la vulnerabilidad.
  • Cualquier material de apoyo (por ejemplo, capturas de pantalla, registros, código de prueba de concepto).

Para información sensible, le recomendamos que cifre su informe. Nuestra clave PGP se puede encontrar aquí: https://keys.openpgp.org/vks/v1/by-fingerprint/17579243F23AAFD69EDEB5258BE31E6A811D063D

Nuestro objetivo es acusar recibo de su informe en un plazo de 2 días laborables y proporcionar una evaluación inicial en un plazo de 5 días laborables. Le mantendremos informado de nuestro progreso mientras investigamos y remediamos el problema.

5. Nuestro Compromiso

Una vez que haya enviado un informe, nos comprometemos a lo siguiente:

  • Acusaremos recibo de su informe con prontitud.
  • Trabajaremos con usted para comprender y validar sus hallazgos.
  • Tomaremos medidas razonables para remediar la vulnerabilidad de manera oportuna.
  • Mantendremos una línea de comunicación abierta con usted durante todo el proceso.

6. Reconocimiento

Bomdiu no ofrece recompensas financieras ni compensación por la divulgación de vulnerabilidades de seguridad. Sin embargo, valoramos profundamente las contribuciones de los investigadores de seguridad. Podemos ofrecer un reconocimiento público para vulnerabilidades significativas y divulgadas de manera responsable, con su permiso.

7. Consideraciones Legales

Al enviar un informe, usted acepta evitar cualquier actividad ilegal y seguir prácticas de divulgación éticas. Bomdiu no tomará acciones legales contra los investigadores que actúen de buena fe y cumplan con esta política.

8. Conclusión

Agradecemos los esfuerzos de los investigadores de seguridad para hacer más seguros los servicios de Bomdiu. Si tiene alguna pregunta sobre esta política, contáctenos en [email protected].

Gracias por ayudarnos a mantener la seguridad de nuestros sistemas.