Política de divulgación responsable

La información de esta página está dirigida a investigadores de seguridad interesados en reportar vulnerabilidades de seguridad al equipo de seguridad de Transporeon. Si ya es cliente y tiene una pregunta sobre seguridad o un problema con su contraseña o cuenta, por favor, póngase en contacto con nosotros a través de los canales de soporte habituales.

Transporeon revisa regularmente su Política de Divulgación Responsable desde una perspectiva legal y operativa.

La seguridad es fundamental para nuestros valores y valoramos la aportación de los investigadores de seguridad que actúan de buena fe para ayudarnos a mantener un alto nivel de seguridad y privacidad para nuestros usuarios. Esto incluye el fomento de la investigación y divulgación responsable de vulnerabilidades. Esta política establece nuestra definición de buena fe en el contexto de la búsqueda y notificación de vulnerabilidades, así como el modo en que tratamos su aviso.

Cómo contactar con nosotros

Nuestro canal de comunicación oficial es la cumplimentación del formulario. Haga clic en el botón "Notificar vulnerabilidad" e informe del problema. Un analista de seguridad se encargará de clasificar los problemas antes de remitirlos al equipo correspondiente.

Notificar vulnerabilidad

Redacte su informe en inglés o alemán y proporciónenos suficiente información para reproducir la vulnerabilidad. Incluya su información de contacto para que podamos ponernos en contacto con usted directamente. Entendemos que pueda preferir que no nos pongamos en contacto con usted, pero puede obstaculizar nuestra capacidad para estudiar y corregir la vulnerabilidad.

Zona de seguridad

Al investigar la vulnerabilidad de nuestros servicios de acuerdo con esta política, consideramos que la investigación está autorizada, es legal, útil para la seguridad general de Internet y se realiza de buena fe.

Se espera que, como siempre, cumpla toda la legislación aplicable. Si en algún momento tiene dudas o no está seguro de que su investigación se adapta a dicha política, envíenos un aviso a través de nuestro Canal Oficial antes de seguir adelante.

Normas básicas

Para fomentar la investigación de las vulnerabilidades y evitar cualquier confusión entre la piratería de buena fe y el ataque malicioso, le pedimos que:

  • Cumpla la normativa. Esto incluye seguir esta política, así como cualquier otro acuerdo relevante.
  • No viole la privacidad de otros, las normas de protección de datos personales, no interrumpa nuestros sistemas, destruya datos ni perjudique la experiencia del usuario;
  • Realice pruebas únicamente en los sistemas incluidos en el ámbito de aplicación y respete los sistemas y actividades que están fuera de él.
  • Interactúe solo con cuentas o dispositivos de su propiedad o con el permiso explícito del propietario.
  • Haga un esfuerzo de buena fe para evitar la interrupción o degradación de nuestro servicio.
  • Si una vulnerabilidad proporciona acceso involuntario a los datos, limite al mínimo necesario la cantidad de datos a los que accede para demostrar eficazmente la vulnerabilidad.
  • Deje de hacer pruebas y envíe un aviso inmediatamente si encuentra datos de usuarios durante las pruebas, como información personal identificable, información médica personal, datos de tarjetas de crédito o información privada.
  • No intente acceder físicamente a propiedades ni a centros de datos de Transporeon.
  • No intente ejecutar ataques de denegación de servicio.
  • La ingeniería social (como el phishing, el vishing, el smishing) está prohibida.
  • Notifique inmediatamente cualquier vulnerabilidad que descubra.
  • No se dedique a extorsionar exigiendo una recompensa antes de revelar los detalles de la vulnerabilidad.
  • Utilice solo los canales oficiales para tratar con nosotros la información de la vulnerabilidad.

Divulgación

No está permitido hablar públicamente sobre ninguna vulnerabilidad ni publicarla antes de que se haya solucionado y haber recibido nuestro permiso explícito para hacerlo.

Alcance

Esta política cubre todos los servicios, productos o propiedades web de Transporeon.

Tenga en cuenta que la mayoría de los avisos que recibimos tienen poco o ningún impacto en la seguridad o ya tenemos conocimiento sobre ellos. Para evitar una experiencia decepcionante al ponerse en contacto con nosotros, tómese un momento y considere si el problema que quiere notificar tiene una base de ataque realista.

Más concretamente, le pedimos que no remita cuestiones relativas a:

  • Vulnerabilidades teóricas sin pruebas ni demostración de su presencia real.
  • Resultados de herramientas automatizadas sin proporcionar una demostración sobre ello.
  • Vulnerabilidades que requieren un ataque MITM, o acceso físico al navegador, smartphone, o una cuenta de correo electrónico de un usuario, así como problemas en smartphones rooteados o con jailbreak.
  • Faltan las cabeceras HTTP relacionadas con la seguridad, o son débiles.
  • Divulgación de datos no sensibles como, por ejemplo, banners de la versión del servidor.
  • Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar el HTML/CSS.
  • Cross-Site Request Forgery (CSRF) en formularios no autentificados o sin acciones sensibles.
  • Auto-XSS.
  • Ausencia de las mejores prácticas de correo electrónico (registros SPF/DKIM/DMARC no válidos, incompletos o ausentes, etc.).
  • Inyección de encabezado de host, a menos que haya confirmado que puede ser explotado en un ataque práctico.
  • Software o bibliotecas vulnerables conocidas previamente sin una demostración de su funcionalidad.
  • Problemas de limitación de velocidad o fuerza bruta en puntos finales sin autenticación.
  • Denegación de servicio.
  • Inyección de CSV/fórmula.
  • Explotaciones basadas en Flash.
  • Clickjacking en páginas sin acciones sensibles.

Medidas que podemos tomar:

Al trabajar con nosotros, conforme a esta política, podemos tomar las siguientes medidas:

  • Ampliar la Zona de seguridad para que su investigación de vulnerabilidad se pueda realizar de acuerdo con esta política;
  • Notificar de inmediato cualquier vulnerabilidad que haya descubierto;
  • Trabajar con usted para entender y validar su aviso, incluyendo una respuesta inicial a la presentación en un plazo razonable;
  • Trabajar para corregir las vulnerabilidades descubiertas de manera oportuna;
  • Notificarle la resolución de la vulnerabilidad, para que pueda volver a probarla y confirmar que se ha solucionado.

Transporeon agradece los esfuerzos de los investigadores de seguridad por identificar vulnerabilidades y cooperar con nosotros para garantizar la seguridad de nuestros clientes. Les agradecemos que hagan todo lo posible por mejorar la seguridad de nuestros productos y de la comunidad de Internet en su conjunto.

© 2024 Transporeon GmbH