Política de revelación de vulnerabilidades de software

Introducción

Esta política de revelación de vulnerabilidades se aplica a cualquier vulnerabilidad que quiera comunicar a Trust International B.V. Le recomendamos que lea íntegramente esta política antes de denunciar una vulnerabilidad, así como que siempre actúe de conformidad con la misma. Valoramos a quienes dedican su tiempo y esfuerzo a denunciar vulnerabilidades de seguridad de acuerdo con esta política. No obstante, no ofrecemos ninguna garantía de compensación económica por la revelación de vulnerabilidades.

Denuncias

Si considera que ha encontrado una vulnerabilidad de seguridad, envíenos su denuncia a la siguiente dirección de correo electrónico: recall@trust.com

En la denuncia, debe incluir los siguientes datos:

  • Activo (dirección web, dirección IP, nombre del producto o servicio) donde se puede observar la vulnerabilidad de seguridad.
  • Denominación de la vulnerabilidad.
  • Descripción de la vulnerabilidad (se debe incluir un resumen, archivos de apoyo y posibles medidas de mitigación o recomendaciones).
  • Impacto (¿qué podría hacer un intruso?).
  • Medidas a implementar. Deben ser medidas sencillas, no destructivas y que sirvan como prueba de concepto. Esto ayuda a garantizar que la denuncia se pueda clasificar de una manera rápida y precisa. También reduce la posibilidad de que se dupliquen las denuncias o incluso de que se aprovechen de manera maliciosa algunas vulnerabilidades de seguridad, como la apropiación de subdominios.

¿Qué puede esperar?

Después de presentar la denuncia, le contestaremos en un plazo de 5 días laborables e intentaremos clasificarla en un plazo de 10 días laborables. También le mantendremos informado sobre el progreso de la denuncia.

La prioridad de la corrección se evalúa teniendo en cuenta el impacto, la gravedad y la complejidad de la vulnerabilidad de seguridad. La clasificación o resolución de las denuncias de vulnerabilidades de seguridad puede requerir cierto tiempo. Puede solicitar información sobre el estado de la misma, pero le recomendamos que no lo haga más de una vez cada 14 días. Esto permite a nuestros equipos centrarse en la corrección.

Le notificaremos cuando se haya corregido la vulnerabilidad de seguridad denunciada y es posible que le invitemos a confirmar que la solución cubre la vulnerabilidad de seguridad de una manera adecuada.

Una vez se haya resuelto la vulnerabilidad de seguridad, aceptaremos solicitudes para hacer pública su denuncia. Nos gustaría unificar las instrucciones para los usuarios afectados, por lo que le rogamos siga coordinando con nosotros su divulgación.

Directrices

NO:

  • Infringir ninguna ley o normativa aplicable.
  • Acceder a cantidades innecesarias, excesivas o significativas de datos.
  • Modificar datos en los sistemas o servicios de la empresa.
  • Utilizar herramientas de escaneo invasivas o destructivas de alta intensidad para encontrar vulneraciones de seguridad.
  • Intentar o denunciar cualquier forma de denegación de servicio como, por ejemplo, saturar un servicio con un gran volumen de solicitudes.
  • Interrumpir los servicios o sistemas de la empresa.

Revelación

Antes de la revelación, haremos lo siguiente (cuando corresponda):

  • Clasificar y validar el informe de hallazgos.
  • Comunicar el calendario para la mitigación (cuando corresponda) y la revelación (cuando corresponda) (podemos solicitar una ampliación del periodo de interrupción).
  • Comunicarnos con otras partes en una divulgación coordinada entre varias partes.
  • Obtener identificadores CVE (Common Vulnerability Enumeration) para el seguimiento.
  • Comunicarle la estrategia de corrección.
  • Cuando corresponda, publicar la divulgación en www.trust.com

Acuerdos con los clientes y consideraciones legales

Los derechos de los clientes en relación con las garantías, la asistencia y el mantenimiento de los productos o servicios de Trust International B.V. se rigen exclusivamente por nuestros términos y condiciones generales de venta, así como por cualquier otro acuerdo aplicable entre Trust International B.V. y el cliente individual.

Ninguna disposición del presente documento modifica ni amplía los derechos existentes de los clientes, ni crea nuevas garantías, ya sean expresas o implícitas. Cualquier información enviada a Trust International B.V. en relación con posibles vulnerabilidades de seguridad, incluyendo los detalles de la denuncia de vulnerabilidad, pasará a ser propiedad exclusiva de Trust International B.V. y podrá ser utilizada a nuestra discreción, sin obligación de compensar o acreditar a la parte que la haya enviado.