Directrices
Exigimos que todos los investigadores
- Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción de datos durante las pruebas de seguridad.
- Realizar investigaciones sólo dentro del ámbito establecido a continuación
- Utilice los canales de comunicación identificados para comunicarnos información sobre vulnerabilidades
- Mantenga la confidencialidad de la información sobre cualquier vulnerabilidad que haya descubierto entre usted y Weglot hasta que hayamos tenido 30 días para resolver el problema.
Si sigue estas directrices cuando nos comunique un problema, nos comprometemos a:
- No emprender ni apoyar ninguna acción legal relacionada con su investigación
- Trabajar con usted para entender y resolver el problema rápidamente (incluida una confirmación inicial de su informe en las 72 horas siguientes a su presentación).
- Reconozca su contribución en nuestro Salón de la Fama del Investigador de Seguridad (en construcción), si es el primero en informar del problema y realizamos un cambio de código o configuración basado en el problema.
Alcance
Fuera del ámbito de aplicación
Quedan excluidos del ámbito de aplicación todos los servicios prestados por proveedores y servicios de terceros. Estos servicios incluyen:
En interés de la seguridad de nuestros usuarios, del personal, de Internet en general y de usted como investigador de seguridad, los siguientes tipos de pruebas quedan excluidos del ámbito de aplicación:
- Resultados de las pruebas físicas, como el acceso a la oficina (por ejemplo, puertas abiertas, cola).
- Hallazgos derivados principalmente de la ingeniería social (por ejemplo, phishing, vishing)
- Resultados de aplicaciones o sistemas no incluidos en la sección "Ámbito de aplicación".
- Errores de interfaz de usuario y de experiencia de usuario y faltas de ortografía
- Vulnerabilidades de denegación de servicio a nivel de red (DoS/DDoS)
Cosas que no queremos recibir:
- Información personal identificable (IPI)
- Datos del titular de la tarjeta de crédito
¿Cómo informar de una vulnerabilidad de seguridad?
Si cree que ha encontrado un fallo de seguridad en uno de nuestros productos o plataformas, envíenoslo por correo electrónico a [email protected].
Incluya los siguientes datos en su informe:
- Descripción de la ubicación y el impacto potencial de la vulnerabilidad
- Una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (nos resultan útiles los scripts POC, las capturas de pantalla y las capturas de pantalla comprimidas).
- Tu nombre/manija y un enlace para tu reconocimiento en nuestro Salón de la Fama (en construcción). No hay ningún pago.
Cosas que no queremos recibir:
- Información personal identificable (IPI)
- Datos del titular de la tarjeta de crédito