Política de divulgación responsable 

Introducción

Grey Group (“Nosotros”, “Nos”, “Nuestro”) aprecia y valora la identificación y el reporte de vulnerabilidades de seguridad efectuadas por investigadores de seguridad éticos y bienintencionados (“Usted”).

Esta política de divulgación responsable se aplica a cualquier vulnerabilidad que considere reportarnos. Recomendamos leer esta política de divulgación responsable en su totalidad antes de reportar una vulnerabilidad, y siempre actuando de conformidad con la misma.

Nosotros no ofrecemos ningún programa de recompensa de errores o incentivos monetarios por divulgaciones responsables, y tampoco se considerará ninguna solicitud de indemnización en cumplimiento con esta Política de Divulgación Responsable. 

Presentación de reportes

Si usted cree que encontró una vulnerabilidad de seguridad, envíenos su reporte a la siguiente dirección de correo electrónico: [email protected] 

Su reporte debe incluir detalles de:

El sitio web, dominio, IP o página en la que se puede observar la vulnerabilidad.

Los pasos a reproducir, los cuales deben ser una prueba de concepto favorable y no destructiva. Esto ayuda a garantizar que el reporte pueda atenderse con rapidez y precisión.

Si tiene alguna pregunta o consulta en relación al reporte, envíe un correo electrónico a [email protected]] para asesoramiento.

Lo que puede esperar

Confirmaremos la recepción de su reporte de vulnerabilidad en un plazo de 5 días hábiles y atenderemos su reporte en un plazo de 10 días hábiles. También lo mantendremos informado de nuestros avances y culminación de cualquier actividad de reparación. Si necesitamos información adicional sobre su reporte, es posible que nos pongamos en contacto con usted.

La reparación de cualquier vulnerabilidad reportada se evalúa según su impacto, gravedad y complejidad aprovechable. Atender  o resolver los reportes de vulnerabilidad puede tomar un tiempo. También puede informarse sobre el estado, pero le pedimos que evite hacerlo más de una vez cada 14 días para permitir que nuestros equipos se concentren en la reparación.

Orientación

Usted NO debe:

• Infringir ninguna ley o regulación aplicable.
• Acceder a una cantidad de datos innecesaria, excesiva o significativa, o modificar datos en nuestros sistemas o servicios.
• Alterar nuestros servicios o sistemas, usar herramientas de escaneo invasivas o dañinas de alta intensidad para encontrar vulnerabilidades o intentar cualquier forma de denegación del servicio. 
• Presentar reportes que destaquen vulnerabilidades no aprovechables, o reportes que indiquen que los servicios no se adhieren plenamente con las “prácticas idóneas”, por ejemplo encabezados de seguridad faltantes.
• Presentar reportes que destaquen puntos débiles en la configuración de TLS, por ejemplo un soporte de conjunto cifrado “débil” o la presencia del soporte a TLS1.0.
• Hacer ingeniería social, ‘fraudes en línea’ o agredir físicamente a nuestro personal o infraestructura.
• Exigir compensación económica por revelar cualquier vulnerabilidad.

Usted debe:

• Cumplir siempre con las normas de protección de datos y no debe violar la privacidad de nuestros usuarios, personal, contratistas, servicios o sistemas. Por ejemplo, no debe compartir, redistribuir o dejar de proteger adecuadamente los datos recuperados de los sistemas o servicios.
• Eliminar de forma segura todos los datos recuperados en su investigación cuando ya no sean necesarios o en el plazo de 1 mes de que se resolvió la vulnerabilidad, lo que ocurra primero (o según lo requiera la ley de protección de datos).

Legalidades

Esta política está concebida para ser compatible con las buenas prácticas de divulgación de vulnerabilidades comunes. No le otorga permiso para actuar de ninguna manera que esté en contradicción con la ley, o que pueda ocasionar que nosotros incumplamos alguna obligación legal.