Política de divulgación de vulnerabilidades de BigID

Introducción

BigID se compromete a proporcionar software seguro a sus clientes. El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de BigID fomenta y valora la notificación responsable de vulnerabilidades, lo que nos ayuda a mantener la seguridad de nuestros productos y sistemas. Esta Política de Divulgación de Vulnerabilidades (VDP) está diseñada para guiar a los investigadores de seguridad en la detección de vulnerabilidades y su notificación a BigID.

Alcance

La política se aplica a estos dominios:

• *.bigid.com
• *.bigid.cloud
• *.bigidprivacy.cloud

Los siguientes tipos de vulnerabilidades están fuera del alcance de esta política:

• Bibliotecas vulnerables conocidas previamente sin una prueba de concepto funcional.
• Vulnerabilidades que sólo afectan a usuarios de navegadores obsoletos o sin parches.
• Ataques que requieren MITM para su explotación.
• Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
• Vulnerabilidades teóricas que requieren interacción del usuario o circunstancias improbables (secuestro de enlaces rotos, robo de pestañas, etc.).
• Vulnerabilidades que no demuestran un impacto en la seguridad en el mundo real (clickjacking, CSRF en puntos finales no sensibles, etc.).
• Pasos opcionales de fortalecimiento de la seguridad / Mejores prácticas faltantes (configuraciones SSL/TLS, opiniones de configuración de CSP, etc.).
• Vulnerabilidades que pueden requerir pruebas peligrosas. Este tipo de pruebas nunca debe intentarse a menos que BigID lo autorice explícitamente por escrito (ataques de denegación de servicio, de denegación de servicio, de ingeniería social, etc.).

Proceso

BigID acepta informes de vulnerabilidades dentro del alcance a través de [email protected]. Por favor, comparta todos los detalles relevantes en su informe, incluyendo:

• Detalles sobre el impacto de la CIA, idealmente con una evaluación basada en la calculadora CVSS;
• Pasos detallados para reproducir la vulnerabilidad; y
• Activos, dominios y/o software afectados.

BigID valora la transparencia y la cooperación durante todo el proceso de denuncia. Nuestro objetivo es reconocer con prontitud las denuncias y compartir las actualizaciones de estado pertinentes con los denunciantes con la frecuencia que permitan los procedimientos de disponibilidad y seguridad del PSIRT.

A cambio, le solicitamos que se abstenga de divulgar la vulnerabilidad al público ni a terceros hasta que BigID haya tenido la oportunidad de validarla y remediarla, y notificar a los usuarios afectados. Posteriormente, le solicitamos que se coordine con BigID sobre el momento y el contenido de cualquier divulgación. También le solicitamos que haga todo lo posible para evitar violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos durante todo el proceso.

BigID no ofrece compensación por las vulnerabilidades reportadas bajo esta política. Solo se ofrece compensación por ciertos reportes enviados a través del Programa de Recompensas por Errores de BigID (HackerOne). Para más información sobre el alcance de los recursos y la elegibilidad para el Programa de Recompensas por Errores de BigID, contáctenos en [email protected].

Puerto seguro

BigID ha adoptado el Estándar de Seguridad Gold para respaldar la protección de organizaciones y hackers que realizan investigaciones de seguridad de buena fe. La "investigación de seguridad de buena fe" consiste en acceder a un ordenador únicamente con fines de prueba, investigación o corrección de buena fe de una falla o vulnerabilidad de seguridad, siempre que dicha actividad se lleve a cabo de forma que se evite cualquier daño a personas o al público, y la información derivada de dicha actividad se utilice principalmente para promover la seguridad de los dispositivos, máquinas o servicios en línea a los que pertenece el ordenador al que se accede o de quienes los utilizan.

Consideramos que la Investigación de Seguridad de Buena Fe es una actividad autorizada, protegida de acciones legales adversas por nuestra parte. Renunciamos a cualquier restricción pertinente en nuestros Términos de Uso que entre en conflicto con el estándar de Investigación de Seguridad de Buena Fe aquí descrito.

Esto significa que para la Investigación de Seguridad de Buena Fe realizada con un esfuerzo de buena fe para cumplir con la política de nuestro programa y mientras este programa esté activo, nosotros:

• No emprenderemos acciones legales en su contra ni lo denunciaremos, incluso por eludir las medidas tecnológicas que utilizamos para proteger las aplicaciones en cuestión; y,
• Tomará medidas para dar a conocer que realizó una investigación de seguridad de buena fe si alguien más emprende acciones legales en su contra.

Debe comunicarse con nosotros a través de [email protected] para obtener una aclaración antes de participar en una conducta que considere que puede ser incompatible con Good Faith Security Research o que no esté contemplada en nuestra política.

Tenga en cuenta que no podemos autorizar investigaciones de seguridad en infraestructura de terceros y que un tercero no está sujeto a esta declaración de puerto seguro.